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The invention concerns a terminal com- 
prising a terminal module (1) and a personal se- 
curity device (31). The terminal (1) is adapted 
for receiving requests from an application (Fap) 
implanted on an electronic unit in the form of 
high level requests independent of the module (I) 
and of said personal security device (31). One at 
least of the terminal module (1) and the personal 
security device (3 1 ) comprises a reprogrammable 
storage memory and means for executing a filter 
software (F) translating the high level requests 
into at least one of (i) at least one data exchange 
sequence between the terminal module (I) and 
the user or (ii) at least an elementary command 
or sequence of commands executable by the per- 
sonal security device, and means for protecting 
said filter software (F, 62) to prevent any modifi- 
cation of said software by a non-authorised per- 
son. The filter software comprises means for identifying and/or authenticating the origin of requests transmitted by said application (Fap) 
implanted in said unit. 
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(57) Abr6ge 



Ce terminal comprend un module terminal (1) et un dispositif personnel de securitd (31). Le terminal (1) est adapt6 pour recevoir des 
requdtes d'une application (Fap) implantde sur une unite" 61ectronique sous la forme de requetes de haut niveau ind6pendants du module (1) 
et dudit dispositif personnel de s^curiti (31). L'un au moins du module terminal (1) et du dispositif personnel de securitd (31) comprend 
une memoire reprogrammable de stockage et des moyens d'exdcution d'un logiciel filtre (F) traduisant les requetes de haut niveau en au 
moins Tune de (i) au moins une sequence d'echange de donnees entre le module terminal (1) et l'utilisateur ou (ii) au moins une commande 
el6mentaire ou une sequence de commandes el6mentaires executables par le dispositif personnel de securitd, ainsi que des moyens de 
protection dudit logiciel filtre (F, 62), pour empecher toute modification dudit logiciel par une personne non autorisde. Le logiciel filtre 
comprend des moyens d' identification et/ou d'authentification de Torigine des requetes emises par ladite application (Fap) implantee dans 
ladite unite\ - 



UNIQUEMENT A TITRE D> INFORMATION 

Codes utilises pour identifier les Etats parties au PCT, sur les pages de couverture des brochures publiant des demandes 
internationales en vertu du PCT. 



AL 


Aibanic 


AM 


Armenie 


AT 


Autrichc 


AU 


Australic 


AZ 


Azerbaidjan 


BA 


Bosn i e-Herzegov inc 


BB 


Barbade 


BE 


Belgique 


BF 


Burkina Faso 


BG 


Bulgarie 


BJ 


Benin 


BR 


Brdsil 


BY 


Belarus 


CA 


Canada 


CF 


Republique centrafricaine 


CG 


Congo 


CH 


Suisse 


CI 


C6tc d'lvoire 


CM 


Camcroun 


CN 


Chine 


CU 


Cuba 


CZ 


Republique tcheque 


DE 


AHemagne 


DK 


Danemark 


EE 


Estonie 



ES 


Espagne 


FI 


Finlande 


FR 


France 


GA 


Gabon 


GB 


Royaume-Uni 


GE 


Georgie 


CH 


Ghana 


GN 


Guintc 


GR 


Grtce 


HU 


Hongrie 


IE 


trlande 


IL 


Israel 


IS 


Islande 


IT 


Ttalie" 


JP 


Japon 


KE 


Kenya 


KG 


Kirghizistan 


KP 


Republique populate 




democratique de Corde 


KR 


Republique de Corec 


KZ 


Kazakstan 


LC 


Sainte-Lucie 


LI 


Liechtenstein 


LK 


Sri Lanka 


LR 


Liberia 



LS 


Lesotho 


LT 


, Lituanie 


LU 


Luxembourg 


LV 


Lcttonie 


MC 


Monaco 


MD 


Republique de Moldova 


MG 


Madagascar 


MK 


Ex -Republique yougoslave 




de Mac^doine 


ML 


Mali 


MN 


Mongolie 


MR 


Maurkanie 


MW 


Malawi 


MX 


Mexique 


NE 


Niger 


NL 


Pays-Bas 


NO 


Norvege 


NZ 


Nouvelle-Zelande 


PL 


Pologne 


FT 


Portugal 


RO 


Roumanie 


RU 


Federation de Russie 


SD 


Soudan . 


SE 


Suede 


sc 


Singapour 



SI 


Sloven ie 


SK 


Slovaquie 


SN 


Senegal 


sz 


Swaziland 


TD 


Tchad 


TG 


Togo 


TJ 


Tadjikistan 


TM 


Turkmenistan 


TR 


turquie 


TT 


Trinite-et-Tobago 


UA 


Ukraine 


UG 


0 Uganda 


US 


Etats-Unis d'Amerique 


UZ 


Ouzbekistan 


VN 


Viet Nam 


YU 


Yougoslavie 


ZW 


Zimbabwe 



WO 99/62037 PCT/FR99/01202 

1 

Terminal et svstSme pour- la mise en oeuvre de transacti ons electroniques seruri^ 

La pr6sente invention concerne un terminal et un systeme pour la mise en oeuvre de 
transactions 6lectroniques securis^es. 

Les reseaux publics de transmission de donnees numeriques, tels que le reseau 
Internet; connaissent un developpement considerable. Cependant, I'un des freins qui 
5 limitent actuellement la mise en oeuvre de transactions £lectroniques s^curisees sur ce type 
de reseau reside dans I'insuffisance des m^canismes de security associes k de telles 
transactions, insuffisance qui se traduit par un manque de confiance des utilisateurs et 
op§rateurs de reseaux, 

Au sens de la pr&ente demande : 
10 - une transaction 6lectronique d£signe un ^change d'informations, via un reseau public 

de transmission de donnees numeriques ou de telecommunications, soit entre deux ou 
plusieurs utilisateurs, soit entre un utilisateur et un foumisseur de services, 

- une fonction est un traitement effectue dans I'objectif de rendre un service h un utilisateur, 

- une application d^signe un ensemble coherent de services et de fonctions, 

1 5 - ('expression logiciel d'application designe le ou les logiciels necessaires pour mettre en 

ceuvre les fonctions relatives & une application donn^e, 

- une transaction s^curisee est une transaction pour laquelle certaines mesures de 
s£curit£ sont prises, £ savoir ['authentication des entites participant £ la transaction, 
I'integrite, la confidentiality ^'authenticity, et 6ventuellement la non repudiation des 

20 ^changes et operations effectu^es dans le cadre de la transaction . 

De nombreuses applications necessitent que les transactions electroniques mises en 
ceuvre soient securis^es. II s'agit par exemple du controle d'acc^s & des ressources 
informatiques ou similaires, de la banque h domicile (consultation, mouvements de comptes 
bancaires, etc... par Pintermediaire du r6seau telephonique ou dMnternet), du commerce 
25 6lectronique (achat de biens ou services par I'intermgdiaire d'un reseau public), du courrier 
£lectronique, du porte-monnaie 6Iectronique, etc... 

Ces applications, ainsi que d'autres, necessitant des transactions securisees sont bien 
connues des spScialistes de la technique et ne sont pas d6crites ici en details. 

Suivant leur nature, la securisation de ces applications necessite la mise en oeuvre d'un 
30 ou plusieurs services de security tels que : 

- I'authentification, qui pemnet de garantir I'identite d'une entite (une personne ou un sysfeme) ; 

- le contrCle d'acc£s, qui confere une protection contre I'utilisation ou la manipulation 
non autoris^e de ressources ; 

- la confidentialite, qui interdit la divulgation de donnees k des entites non autorisees ; 
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- Tintegrite de donnees, qui assure que des donn<§es n'ont pas &<§ modifiees, supprimfes 
ou substitutes sans autorisation ; 

- la non repudiation, qui assure qu'un participant k un echange de donnees ne pourra 
pas ulterieurement nier ('existence de cet ^change. 

5 La combinaison de deux techniques existantes permet d'envisager la mise en ceuvre 

de ces services de security, offrant ainsi un niveau de securite suffisant pour effectuer des 
transactions electroniques. 
Ils'agitde: 

- la cryptographie k cle publique et cl<§ priv£e, car eile permet de.garantir la non 
10 repudiation et facilite la gestion des ci£s ; 

- la carte k circuit integrS (ou "smart card") car eile est peu couteuse, facile k utiliser et 
sure grace k des microprocesseurs specifiques dot£s de protections materielles et logicielles 
permettant d'interdire I'accSs en lecture et en Venture a leurs memoires. 

Les cartes k circuit integre off rent les services suivants : 
1 5 * I 'authentication du porteur ou utilisateur de la carte : cette operation permet d'authentifier le 

porteur k I'aide d'un code confidentiel et k la carte d'accepter par la suite la mise en ceuvre 
derations telles que l'ex<§cution d'algorithmes, la lecture de des secretes, la lecture et/ou I'Scriture 
de donnees dans la carte, qui peuvent en outre §tre soumises k d'autres conditions de security ; 

* la protection des donnees et fonctions stock^es sur la carte k circuit integre. L'acc£s k la 
20 carte peut &re soumis k une authentication pr£alable de l'entit£ electronique demandant k y 

acc&ter. Cette authentification exteme se fait genSralement en mode challenge/reponse. Dans ce 
cas, I'entite dispose d'un param&re secret, ci-apres appele egalement secret, qui lui permet de 
calculer, en fonction d'un challenge £mis par la carte, une r^ponse qui prouvera k la carte qu'elle 
est en possession du secret ; 
25 * execution d'algorithmes oyptographiques utilisant un param&re secret memorise dans la 

carte (chiffrement, authentification de message, signature) ; 

* authentification interne. Ce service permet k une application d'authentifier la carte. Ce 
service est Pinverse d'une authentification exteme. La carte g£n£re une reponse en fonction d'un 
challenge re?u et d'un secret stocke dans la carte. 

30 Les services offerts par la carte £ circuit int£gr£ sont mis en oeuvre sur reception de 

commandes elites el6mentaires, I'exgcution de la commande elementaire provoquant I'envoi 
de reponses elemental res. Ces commandes elementaires concernent, par exemple, des 
caiculs cryptographiques, la lecture ou l'6criture de donnees secretes ou non, des 
interventions de I'utilisateur (saisie de son code confidentiel personnel PIN, validation d'une 
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transaction apr6s signature), les retours d' information vers I'utilisateur (affichage des 
messages k signer, par exemple). 

Certaines cartes offrent la possibility de verifier hntegrite, I'origine, voire la 
confidentiality des commandes envoyees k la carte. Ces services reposent sur des techniques 
5 d'authentification et de chiffrement des commandes. 

L'utilisation qui est faite actuellement des cartes k circuit integr6 (ou cartes k micro- 
circuit) offre un degr6 tr6s 6leve de securite car les transactions sont essentiellement mises en 
oeuvre sur des reseaux priv^s et des terminaux (distributeurs automatiques de billets, 
terminaux points de vente par exemple) qui sont sous le contrdle d'une entite assurant la 
10 securite de ('ensemble du systeme. 

Dans de telles applications, les utilisateurs ou d'eventuels fraudeurs n'ont pas acc6s au logiciel 
d'application, ni aux m&anismes de security materiels et logiciels dont sont dotes les temninaux. 

Par contre, la mise en ceuvre de transactions securisees avec des cartes k circuit integne sur 
un reseau public suppose que les utilisateurs aient k leur disposition un module terminal lecteur 
15 de carte, 6tant donn£ que ces cartes k micro-circuit ne sont pas dotees d'une source d'6nergie 
electrique propre et que leur mise en oeuvre requiert un lecteur susceptible de les alimenter et 
d'&ablir une communication avec I'utilisateur et/ou des moyens 6lectroniques exterieurs. 

A I'heure actuelle, pour r^aliser une transaction sur un reseau public, I'utilisateur 
dispose d'un terminal, qui peut etre un produit d6die, un ordinateur personnel, ou un 
20 ordinateur personnel couple k une carte k circuit integr6 par un lecteur de carte. 

Dans tous les cas, le systeme de transactions k la disposition de I'utilisateur est en 
g£n£ral constitu6 de : 

• un foumisseur de services applicatifs pouvant §tre, par exemple, un navigateur Internet, 
un logiciel de messagerie, un logiciel de banque k domicile ("Home banking"), 
25 • un fournisseur de services de securite de haut niveau permettant j'execution des 
m6canismes cryptographiques de bas niveau requis par 1'application. 

Le fournisseur de services applicatifs emet des requetes de services de security de haut 
niveau pour assurer la security des transactions mises en ceuvre. 

Dans le cas ou ^application est implantee sur I'ordinateur personnel de I'utilisateur, les 
30 services cryptographiques auxquels il est fait reference sont, par exemple, ceux dSfinis par la 
Societe RSA Laboratories dans son standard "PKCS 1 1 : Cryptographic Token Interface 
Standard", ou encore les services cryptographiques offerts par le systeme d'exploitation 
Windows NT de Microsoft, en particulier ceux proposes par Tlnterface des programmes 
d'application (API) "Crypto API". 



WO 99/62037 PCT/FR99/01202 

4 

Lorsque I'utilisateur ne dispose pas de lecteur de carte k circuit integre, les services 
cryptographiques sont r£alis6s de manure logicielle uniquement.. 

Lorsque I'utilisateur veut am6liorer la security il utilise un lecteur de carte k circuit 
integre de type transparent connecte a son ordinateur. Un lecteur de carte de type 
5 transparent est en fait un boitier d'interface entre I'ordinateur et la carte k circuit integre qui 
permet de transmettre des commandes elementaires de I'ordinateur, provenant du 
fournisseur de services "cryptographiques, vers la carte, et les r^ponses Elementaires de la 
carte vers I'ordinateur. Un utilisateur peut, k I'aide de ce terminal, (constitue de son module 
terminal - ordinateur + lecteur - couple k sa carte) effectuer des transactions electroniques 
1 0 (commerce £lectronique par exemple). 

Bien entendu, I'acc^s des utilisateurs £ un tel terminal engendre des risques potentiels 
du point de vue de la sEcurite. 

Les risques encourus seront d'autant plus grands que les applications seront 
dEcentralisees. Et vice versa, les applications pourront fitre d'autant plus decentralisees, que 
15 les risques c6t£ terminaux seront maitrisEs. Par exemple, on peut envisager des applications 
de type porte-monnaie, dans lesquelles les transactions (debit de la carte acheteur/credit de 
la carte commer?ant) se feront de carte k carte, sans necessiter une consolidation des 
transactions au niveau d'un serveur central. 

II rEsulte de ce qui precede, qu'un terminal peut potentiellement contenir un 
20 ensemble d' informations, voire des logiciels, sur la confidentiality et I'integrite desquels 
repose la sEcuritE de I'application. Comme exemple, on peut citer des cl6s secretes utilisees 
pour I'authentification du module terminal vis-i-vis de la carte, ou pour le chiffrement de 
donnEes entre un serveur et le module terminal lecteur de carte. Or, un fraudeur peut 
profitec du fait d'avoir k sa disposition un terminal pour analyser son fonctionnement et 
25 acceder aux informations et logiciels confidentiels. 

II faut Egalement noter que les applications auxquelles il est fait reference ici, telles 
que le commerce ou le courrier Electronique, sont la plupart du temps mises en oeuvre k 
travers le reseau Internet. II est bien connu des experts qu'un ordinateur personnel ou PC 
connecte au reseau Internet est tr6s vulnerable aux logiciels de type virus, qui peuvent etre 
30 installs et executes sur le PC de I'utilisateur sans m&me.qu'il le sache et sans qu'il ait laissE 
un acc£s physique k son ordinateur k qui que ce soit. Le c&t6 totalement invisible de ce type 
de menace repr&ente le r6el danger qui limite k I'heure actuelle le dEploiement des 
applications transactionnelles utilisant Internet. Les m&mes commentaires peuvent 
s'appliquer aux applications de commerce electroniques envisages k partir des rSseaux 
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cables de television en utilisant des d£codeurs ou "set-top box" raccord£s au poste de 
television et comportant un ou deux lecteurs de cartes k puce. 
Les risques au niveau du systeme sont alors les suivants : 

• Attaque sur ('integrity du foumisseur de services cryptograph iques et du fournisseur de 
5 services applicatifs visant k modifier le comportement du module terminal : a titre 

d'exemple, le module terminal est modifte de manure k capturer les informations liees k la 
carte, stacker les informations obtenues pour ensuite les communiquer k un faux serveur. 
Cette attaque peut etre r^alisee k I'insu de I'utilisateur legitime (substitution du module 
terminal de I'utilisateur ou pr&t d'un module terminal modify). Cette attaque peut ensuite se 
1 0 generaliser sous !a forme de la diffusion de modules terminaux contrefaits ; 

• Attaque sur la confidential ite du foumisseur de services cryptograph iques, visant k se 
procurer les c\€s cryptographiques qu'il manipule, lesquelles cl6s sont par exemple stockees 
sur le disque dur d'un ordinateur. 

• Attaque vis-^-vis d'autnes cartes, bas6e sur une capacity k pouvoir s'authentifier vis^-vis de ces 
1 5 cartes, grace aux secrets decouverts par une attaque sur la confidentiality du foumisseur de services. 

• Attaque sur l'integrit§ et la confidential ite des communications entre les differentes 
entites (foumisseurs de services applicatifs, foumisseurs de services cryptographiques, 
lecteur de carte k circuit int6gr6, carte k circuit integr^, serveur) permettant de rompre la 
chaine de confiance &ablie entre ces elements . Par exemple: 

20 1 - dechiffrement des communications entre serveur et terminaux; - 

2 - insertion d'un logiciel tiers entre le foumisseur de services applicatifs et le foumisseur de 
services cryptographiques visant k rompre la chaine de confiance entre ces deux logiciels ou bien 
substitution du logiciel applicatif par un logiciel tiers visant k faire executer au foumisseur de 
services de s&rurite des requites de security dans un but different de celui de ['application 

25 connuede I'utilisateur. 

• Attaque sur les serveurs (dans le cas d'une application en mode connecte) : connexion 
d'un terminal contrefait k un serveur, Emulation d'un couple module terminal-carte k circuit 
int6gr6 pour obtenir des avantages. 

Ainsi, une attaque sur la chaTne de confiance entre le fournisseur de services 
30 cryptographiques et le fournisseur de services applicatifs, dans le cadre d'une application 
requ^rant la signature d'une transaction Slectronique k I'aide d'une carte a circuit integre, est 
illustree ci-apr6s. Le d^roulement de la transaction est le suivant : 

- Etape V: verification du code confidence! personnel (PIN) de I'utilisateur, que celui- 
ci introduit par un clavier assocte k son module terminal, le code introduit etant transmis k la 
35 carte pour verification par cette derntere. 
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- Etape 2 : authentication du module terminal. Ce dernier envoie une commande 
"demande challenge". (Un challenge est un nombre aleatoire ou pseudo-aleatoire). La carte 
k circuit integrt gtntre le challenge et le transmet au module terminal. Le module terminal, 
envoie k la carte une commande "authentication externe" accompagnee d'une rtponse 

5 constitute du challenge chiffrt par une cle dttenue par le module terminal. La carte k circuit 
inttgre verifie alors la rtponse re?ue. 

- Etape 3 : si les Stapes 1 et 2 se sont deroulees de manure satisfaisante, la carte k 
circuit integre est prtte k recevoir et executer la commande signature, c'est-^hdire une 
commande de chiffrement, au moyen d'une cle privee stockee dans la carte, du resultat 

10 d'une operation de hachage rtalisee sur la transaction saisie par I'utilisateur. Aprts ce 
chiffrement, la carte tmet, k destination du module terminal, la signature constitute du 
rtsultat de reparation de hachage ("hash") ainsi chiffrt. 

Si Pinttgrite du logiciel duplication (foumisseur de services applicatifs et son 
fournisseur de services cryptographiques) n'est pas assume, un fraudeur n'a pas besoin de 

15 connaitre les cits et codes secrets pour pirater le systtme de transaction : it lui suffit 
d'implanter dans le module terminal, par exemple dans Pordinateur personnel auquel est 
raccorde un lecteur de carte k circuit inttgrt, un logiciel de type virus qui, k I'etape 3, 
detourne les donnees authentiques k signer et envoie k la carte des donntes falsifies. Etant 
donne que les ttapes 1 et 2 se sont deroulees de manure satisfaisante, la carte signera alors 

20 les donnees falsifies sur la base du PIN que I'utilisateur a lui-meme introduit et celui-ci 
croira que la carte va signer ses propres donntes. 

L'exemple prtcedant montre la necessity de proteger non seulement les informations 
confidentielles mises en oeuvre dans le cadre d'une transaction, mais aussi I'inttgrite de la 
. transaction, c'est-S-dire I'inttgrite du comportement de chaque entite intervenant dans la 

25 transaction, ainsi que Pinttgritt du comportement d'ensemble du logiciel en veillant ^ la non 
rupture de la chaine de confiance ttablie entre les difftrentes entitts. 

' Les risques d'attaque mentionnts ci-dessus sont k Pheure actuelle en partie couverts 
par des terminaux - lecteurs de carte k circuit inttgre integrant des modules de securite 
(SAM, analogue k une carte k circuit inttgre) qui sont utilises notamment dans le cadre des 

30 applications porte-monnaie. Le lecteur est alors personnalist par un SAM, et attribue k un 
commer?ant, les cartes lues Stent celles des clients. Ce SAM contient des informations 
secretes et est susceptible d'extcuter des algorithmes utilisant ces informations secrttes. 
Mais, il ne contient pas de moyens permettant notamment de piloter les communications 
avec I'utilisateur, avec la carte £ circuit inttgrt et/ou avec des moyens tlectroniques 

35 exttrieurs, et done la stcurisation de transaction n'est pas assurte. 
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II est egalement connu par le document WO 95/04328 un module terminal 
comprenant des moyens d'interface avec I'utilisateur et des moyens d'interface avec des 
moyens electroniques exterieurs (ci-apr£s appelSs moyens d'interface externe), comportant 
une interface avec une carte k micro-circuit. Le microprocesseur du module terminal 
5 comprend des moyens de stockage de donnees (ROM, EEPROM, RAM). Les donnSes 
stock6es en memoire permanente (ROM) comprennent entre autres un systeme 
d'exploitation, des gestionnaires de composants externes pilotant les interfaces et 
peripheriques, et un interpr&eur capable d'interpr&er des modules programmes ecrits dans 
un langage spt§cifique. Les modules programmes sont stock§s dans la memoire semi- 

10 permanente EEPROM et peuvent Stre charges en memoire temporaire RAM pour §tre 
executes par le microprocesseur lors de I'activation d'une interface appropriee par 
I'utilisateur. Les modules programmes, correspondant aux applications du module terminal, 
sont t6lecharg6s dans la memoire EEPROM du microprocesseur ou dans une carte a micro- 
circuit k partir d'un serveur externe. 

15 Le module terminal du document WO95/04328 peut fonctionner : 

- en mode module terminal autonome, le microprocesseur du module terminal executant un 
module programme stocks dans une memoire interne, sans faire appel k une carte k circuit integre ; 

- en mode terminal autonome, dans lequel un module programme stocke dans une carte 
est ex§cut£ ; 

20 - en mode terminal 6tendu ou connecte, dans lequel le microprocesseur du module terminal ou 
celui de la carte execute un module programme et une communication est etablie via le 
telephone, un modem ou une liaison directe avec un foumisseur de services ou un serveur ; 

- en mode lecteur de carte a memoire transparent, dans lequel des instructions revues par 
une liaison s6rie sont transmises directement k la carte et vice et versa. 

25 Le terminal decrit au document WO 95/04328 ne traite pas des probl£mes de securite 

vises par I'invention dans la mesure ou il ne decrit pas comment s^curiser une transaction en 
. garantissant I'integrite du comportement d'ensemble du logiciel executant la transaction. II ne 
decrit notamment pas de moyens permettant I 'execution de requites de haut niveau 6mises par 
Implication, ni comment garantir I'origine, I'integrite et la confidentiality de ces moyens. 

30 La pr^sente invention vise k fournir un terminal pour la mise en oeuvre de transactions 

Electroniques securisEes, du type comprenant un dispositif personnel de securite tel qu'une 
carte k circuit int6gr6 ou autre dispositif remplissant les memes fonctions, et un module 
terminal dote de moyens d'interface avec le dispositif personnel de securite, tels qu'un 
lecteur de carte k circuit int6gr6, et offrant de par son architecture logicielle et/ou materielle 

35 et les m^canismes de s6curit6 qu'il comporte, un niveau de securite ameliore, compatible 
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avec le fait que le terminal peut &re plac6 sous le contrdle des utilisateurs, (par opposition k 
des terminaux centrales par des opErateurs). 

Un deuxteme objectif de I'invention est d'assurer ce m§me niveau de securite tout en 
permettant ('integration, en cours d'utilisation, de fonctions ou applications nouvelles, ou 
5 I Evolution des fonctions ou applications existantes sans avoir recours k une multitude de 
modules terminaux differents ou au changement des modules terminaux lors des Evolutions. 

A cet effet, I'invention a pour objet un terminal pour la mise en ceuvre, par un 
utilisateur, de transactions electroniques s<§curis6es en liaison avec au moins une application 
implantee sur une unite electronique, ledit terminal comprenant : 
10 - un module terminal comportant au moins : 

• des premiers moyens d'interface avec ladite application pour en recevoir des 
requfites relatives auxdites transactions, 

• des deuxi&mes moyens d'interface avec ledit utilisateur, 

• des troistemes moyens d'interface avec un dispositif personnel de securite, 

15 • des premiers moyens de traitement de donnees comprenant au moins des premiers 

moyens logiciels de pilotage desdits moyens d'interface, et 
- un dispositif personnel de sEcurite comportant au moins des deuxiemes moyens de 
traitement de donnees securis^es comprenant au moins des deuxiemes moyens logiciels 
d'ex^cution de commandes elementaires et des moyens d'ex&rution de calculs 
20 cryptographiques, caracterisE en ce que : 

* ledit terminal est adapts pour recevoir lesdites requetes de ladite application 
implantee sur ladite unite electronique sous la forme de requites de haut niveau 
independantes dudit dispositif personnel de securite, 

* Tun au moins dudit module terminal et dudit dispositif personnel de securite comprend : 
25 • au moins une memoire reprogrammable de stockage d'au moins un logiciel filtre, 

traduisantlesdites requ&es de haut niveau en en au moins I'une de : 

(i) au moins une commande 6l£mentaire ou une sequence de commandes 

6tementaires executables par lesdits deuxiemes logiciels desdits deuxtemes 

moyens de traitement de donnees, ou 
30 (ii) au moins une sequence d'Schange de donnees entre ledit module terminal et 

ledit utilisateur via lesdits seconds moyens d'interface, ledit echange de donnees 

etant execute par lesdits premiers moyens logiciels desdits premiers moyens de 

traitement de donnees, 
• des moyens de protection dudit logiciel filtre pour empgeher toute lecture 
35 et/ou modification dudit logiciel par une personne non autorisee, et 
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* Pun-au moins desdits premiers et deuxtemes moyens de traitement.de donnees 
comprend un dispositif de traitement de donnees pour Pex6cution dudit logiciel filtre. 
L'invention definie ci-dessus permet d'atteindre les objectifs de security requis par la 
mise en oeuvre de transactions electroniques grace au fait qu'elle d£crit un filtre ou pare-feu 
5 (" firewall ") entre le monde exterieur, c'est-^-dire les applications elles-memes, et les 
moyens de s£curit6 et p£riph6riques qu'il g£re, au moyen d'une interface logique permettant 
la definition du format des requites de haut niveau 6mises par les applications et d'un 
logiciel de traduction assurant le traitement de ces requites. 

De preference, le terminal suivant l'invention comprend une ou plusieurs des 
10 caracteristiques suivantes, eventuellement combines : 

- ledit dispositif d'ex6cution du logiciel filtre comprend des premiers moyens 
d' identification et/ou d'authentifi cation de ladite application implant£e dans ladite unite ou 
de Porigine desdites requites £mises par ladite application ; 

- ledit dispositif de traitement de donnees pour Pex£cution dudit logiciel filtre comprend 
15 des moyens de verification de Pintegrite des donnees re?ue de ladite application ; 

- ledit dispositif de traitement de donnees pour Pex6cution dudit logiciel filtre comprend 
des moyens centralises de contrdle des conditions d'utilisation des services du dispositif 
personnel de security en fonction de ladite application et/ou dudit utilisateur ; 

- ledit dispositif de traitement de donnees pour ('execution dudit logiciel filtre comprend : 
20 • des moyens pour commander le chargement securise dudit logiciel filtre dans 

- ladite m6moire programmable, via Pun desdits premiers ou troisi&mes moyens 
d'interface, £ partir d'une entity ext£rieure audit module, et 
• des premiers moyens de contrdle d'acc£s pour n'autoriser ledit chargement dudit 
logiciel filtre qu'en reponse k au moins une condition predefinie ; 
25 - le terminal comprend des deuxi&mes moyens d'authentification desdits premiers 
moyens de traitement de donnees par lesdits deuxi£mes hnoyens de traitement de donnees ; 

- le terminal comprend des troistemes moyens d'authentification desdits deuxifemes 
moyens de traitement de donnees par lesdits premiers moyens de traitement de donnees ; 

- le terminal comprend un premier canal de communication entre lesdits premiers et 
30 deuxi£mes moyens de traitement de donnees et des premiers moyens de securisation dudit 

premier canal de communication ; 

- le terminal comprend des quatri&me moyens d'authentification dudit module terminal 
par ledit utilisateur, ind£pendamment de ladite carte ; 

- lesdits quatri&mes moyens d'authentification comprennent des moyens de calcul, par 
35 lesdits premiers moyens de traitement de donnees, et de presentation audit utilisateur, via 
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lesdits deuxteme moyens d'interface, d'un mot de passe connu dudit utilisateur et calculi sur 
la base d'au moins un premier parametre secret stocke dans lesdits premiers moyens de 
traitement de donnees ; 

- le terminal comprend des cinquiemes moyens d'authentification conjointe dudit module 
5 terminal et de ladite carte par ledit utilisateur ; 

- lesdits cinquiemes moyens d'authentification comprennent des moyens de calcul, par 
ledit dispositif d'execution dudit logiciel, et de presentation audit utilisateur, via lesdits 
deuxiemes moyens d'interface, d'un mot de passe connu dudit utilisateur et calculi sur la 
base d f au moins un deuxteme et un troisieme parametres secrets stockes respectivement 

1 0 dans lesdits premiers et deuxiemes moyens de traitement de donnees. 

Selon une premiere forme de realisation de Pinvention, le module terminal est 
constitue par un ordinateur personnel et ladite memoire programmable est constitute par le 
disque dudit ordinateur, ledit logiciel filtre est execute sur I'ordinateur personnel ou bien 
dans un deuxteme mode d'execution, ladite memoire programmable est implantee sur un 
15 serveur securise relie k I'ordinateur personnel, la partie du logiciel filtre devant etre protege 
etant executee sur ledit serveur securise. 

Selon une deuxieme forme de realisation de ('invention, le module terminal est un 
dispositif, tel qu'un lecteur dtdie de carte k circuit integre, auquel cas ledit dispositif 
personnel de securite est une carte $ circuit integre, ou un ordinateur personnel. Ce mode de 
20 realisation se difference du precedent par le fait que ladite memoire programmable est 
integree dans un microprocesseur securise, ledit logiciel filtre etant execute dans ledit 
microprocesseur securise; Le module terminal dedie peut eventuellement etre portable. 

Selon les modes d'execution de cette deuxieme forme de realisation de I'invention, la 
memoire programmable pour le chargement et le stockage du logiciel filtre peut Stre 
25 disposee dans le dispositif personnel de securite ou dans le module terminal. 
Dans ce dernier cas : 

- le module terminal peut comporter un seul microprocesseur pour ('execution du 
logiciel filtre et le pilotage des interfaces, ou bien deux microprocesseurs remplissant 
respectivement I 'une et I 'autre de ces deux fonctions. 
30 -de preference ledit logiciel filtre comprend au moins un parametre secret et lesdits 

deuxiemes moyens de traitement de donnees comprennent des seconds moyens de contrdle. 
d'acces conditionnels pour n'autoriser I'execution desdits calculs cryptographiques, en 
reponse & des commandes eiementaires generees par ledit logiciel filtre, que si au moins une 
seconde condition predefinie, fonction dudit parametre secret est remplie 
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Selon d'autres caracteristiques de I'invention, lorsque le module terminal comporte 
deux microprocesseurs pour ('execution du logiciel filtre et le pilotage des interfaces : 

- le terminal comprend un deuxi&ne canal de communication entre lesdits premiers 
moyens logiciels de pilotage des moyens d'interface et ledit deuxteme microprocesseur et 

5 des deuxiemes moyens de securisation dudit deuxieme canal de communication ; 

- lesdits deuxiemes moyens de securisation comprennent des moyens de chiffrement 
et dechiffrement, par lesdits premiers moyens logiciels de pilotage des moyens d'interface et 
ledit deuxieme microprocesseur, des donnees transmises sur ledit deuxieme canal de 
communication, sur la base d'au moins un cinquteme parametre secret memorise dans 

1 0 lesdits premiers et deuxiemes moyens de traitement de donnees ; 

r lesdits deuxiemes moyens de securisation comprennent des premiers moyens 
physiques de protection dudit deuxieme canal de communication contre les intrusions. 

Differents modes de realisation de I'invention seront maintenant decrits en se referant 
aux dessins annexes, en particulier des modes de realisation dans lesquels le logiciel filtre est 
15 charge et execute dans le terminal de manure S garantir k la fois son origine, sa 
confidential ite et son integrite, ce logiciel pouvant aussi authentifier I'origine des requ&es 
qui lui sont envoyees, si la confiance dans les interfaces avec Putilisateur, c'est-S-dire I'ecran 
et le clavier, ne peut etre garantie. 

- la Figure 1 est un schema illustrant I'architecture fonctionnelle d'un systeme pour la 
20 mise en oeuvre de transactions securisges au moyen d'un terminal selon I'invention ; 

- la Figure 2A presente une premiere forme de realisation de I'invention ou le terminal 
est un ordinateur personnel couple k une carte £ circuit integre par un lecteur, ['application 
pouvant etre elle meme implantee sur I'ordinateur personnel ou sur un serveur distant. 

- la Figure 2B decrit I'architecture fonctionnelle d'une variante d'execution de la 
25 premiere forme de realisation de I'invention, dans laquelle I'ordinateur personnel servant de 

terminal est en liaison avec un serveur de securite sur lequel est implante le logiciel filtre ; 

- la Figure 3 presente un systeme de transaction mis en oeuvre grace k un terminal 
selon une deuxieme forme de realisation de ['invention, qui peut 6tre un produit dedie relie 
en tant que peripherique k un ordinateur personnel ou directement k un serveur ou bien 

30 construit autour d'un ordinateur personnel ; 

- la Figure 4A est un schema bloc de ('architecture materielle des circuits 
electroniques d'un premier mode d'execution du terminal de la figure 3 ; 

- la Figure 4B est un schema fonctionnel illustrant une premiere configuration 
d' architecture logicielle du terminal de la figure 4A ; 
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- la Figure 4C est un schema fonctionnel similaire h celui de la figure 4B presentant 
une seconde configuration d'architecture logicielle du terminal de la figure 4A ; 

- la Figure 5 est un schema bloc de I 'architecture materielle des circuits electroniques 
d'un deuxteme mode d'execution du terminal autonome.de la figure 3 ; 

5 - la Figure 6 est un schema bloc de I'architecture materielle des circuits Electroniques 

d'un troisteme mode d'execution du terminal autonome de la figure 3 ; 

- la Figure 7 est un schema illustrant I'architecture logicielle conventionnelle d'une 
carte a micrcHcircuit ; 

- la Figure 8A est un schema illustrant I'architecture logicielle d'un systeme de 
1 0 transaction comprenant le terminal de la figure 4A ; 

- la Figure 8B est un schema illustrant I'architecture logicielle d'un systeme de 
transaction comprenant le terminal de la figure 6 ; 

- la Figure 9 est un diagramme illustrant la mise en oeuvre d'une application de 
commerce electronique au moyen d'un systeme selon I'invention ; et 

15 - la Figure 10 est un organigramme illustrant le processus de telechargement d'un 

programme dans une memoire reprogrammable du module terminal de la figure 4A ou 5, 
ou d'une carte k micro-circuit connects £ celui-ci ; 

En se referant k la figure 1, un systeme de mise en oeuvre de transactions s6curis6es 
comprend un module terminal 1 de lecture d'une carte k circuit integr£ 31 ou equivalent. Le 

20 module terminal 1 comprend un filtre F constitu6 d'un module logiciel traitant des requetes de 
haut niveau emises par des foumisseurs de services applicatifs FAp extemes au module terminal 1 
au moyen d'une interface logique F-API, et des interfaces utilisateur telles qu'un ecran d'affichage 
4 et un clavier 5 permettant la lecture et ('introduction de donnees par un utilisateur. II comprend 
Egalement un lecteur ou interface de communication 6 avec une carte & micro-circuit ou tout 

25 dispositif de s^curite equivalent personnel k I'utilisateur, du type jeton (token), "JavaRing" 
(produit de la soci&e SUN), * iButton " (produit de la society Dallas Semiconductor Corporation), 
jeton logiciel (soft token), ainsi que des interfaces de communication avec au moins un 
foumisseur de services applicatifs FAp qui peut, par exemple, fitre implante sur un ordinateur 
personnel PC et/ou sur un serveur Sap , I'echange de donnees s'effectuant alors via un reseau R 

30 de transmissions de donnees ou de telecommunications. 

Le module terminal 1 peut §tre un terminal dedte ou Stre integre dans un ordinateur 
personnel de type PC, ou bien dans un ordinateur-terminal NC dEdte aux applications en reseau 
(Network Computer) ou encore dans un d^codeur de reseau de television cable (Set Top Box). 
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Le module terminal 1 peut £ventuellement §tre utilise en mode autonome, par exemple 
pour lire des informations, telles que le contenu d'un porte-monnaie 6lectronique, contenues 
dans une m^moire de la carte 31. 

Pour la mise en oeuvre de transactions securisees, le module terminal 1 peut §tre 
5 utilise en mode connecte avec un serveur Sap ou en mode non connects ('application FAp 
<§tant alors ex<§cutee localement, par exemple sur Tordinateur personnel PC : Tel est le cas, 
par exemple, lorsqu'un utilisateur doit signer un courrier Slectronique ou des transactions 
qui seront envoy^es k un destinataire. Une telle operation n'implique pas de connexion avec 
un serveur applicatif au moment ou la carte 31 est utilisee. 

10 En mode connecte, comme represents k la figure 3 dans le cas d'un module terminal 1 

dedte, celui-ci peut 6tre connecte au serveur Sap sur lequel est implante ^application FAp 
par Tintermediaire de Tordinateur PC et d'un reseau R tel qu'lnternet, ou par T intermediate 
du reseau tetephonique R via un modem MO ou une liaison DTMF avec un combine 
telephonique CT. Certaines transactions, telles que le rechargement d'un porte-monnaie 

15 eiectronique dans la carte 31, peuvent n£cessiter un echange bidirectionnel de donnees 
avec le serveur Sap et sont, par consequent, plus ergonomiques en mode connecte. 

La mise en ceuvre d'une transaction s6curis6e avec un module terminal 1 et une carte 31 
implique que des requ&es logicielles de haut niveau (par exemple des requites de signature, 
d'authentification , etc... qui doivent etre traces de mantere k satisfaire les objectifs de s^curite 

20 requis du programme applicatif) soient transmises du programme applicatif implante par 
exemple dans le serveur Sap (mode connecte) ou dans Tordinateur personnel PC ou NC k la 
disposition de Tutilisateur (mode non connecte, par exemple signature de courrier 
Slectronique), au filtre F assurant le pilotage des moyens de s^curite. Ce filtre F effectue le 
traitement de ces requgtes au moyen d'un logiciel de traduction, s'assurant ainsi que 

25 Tapplication ou tout autre logiciel de type virus ne peuvent avoir un acc£s direct aux fonctions 
cryptographiques de la carte £ circuit integte 31. Le traitement des requites de haut niveau 
comprend la traduction de ces requfites en une commande £l£mentaire ou une sequence de 
commandes elementaires qui sont ex6cutees par le dispositif personnel de sScurite. Les 
requ&es de haut niveau sont formulas independamment de la configuration materielle el/ou 

30 logicielle du dispositif personnel de s£curite, c'est^-dire qu'elles ne sont pas formulees 
directement en fonction du dispositif personnel de s&rurite. 

Les requites de haut niveau contiennent des informations qui sont liees spScifiquement 
au processus qui sera execute par le logiciel filtre. Selon un exemple simple, une requete de 
haut niveau peut comprendre une commande elementaire unique k transmettre au dispositif 

35 personnel de s6curite, par exemple un APDU ("Application Protocol" Data Unit"), dans le cas 
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d'une carte k microcircuit, attache k un code MAC d "authentication de message qui permettra 
au logiciel filtre F de verifier I'origine et I'integrite de cette requSte avant d'envoyer la 
commande etementaire au dispositif personnel de s^curite. Selon un exemple plus complexe, 
tel qu'une requete de signature d'un document, la requ&e de haut niveau sera transform^ par 
5 le filtre F en une sequence de commandes elementaires envoy^es au dispositif personnel de 
security et eventuellement k I'interface utilisateur. Ainsi, selon cette definition et du fait qu'eiles 
contiennent des informations spScifiques devant §tre decodes par le filtre F independamment 
du dispositif personnel de securite, les requ&es de haut niveau sont dites §tre ind^pendantes 
du dispositif personnel de securite. 
10 Le filtre F r^pond aux objectifs de securite recherches dans la mesure ou le logiciel de 

traduction qu'il comporte verifie ('identity de ^application emettant les requites de services 
(ou directement I'origine des requfites) et est implants de manure k garantir I'fntegrite et la 
confidentiality des operations et donnees elementaires mises en oeuvre pour repondre aux 
requites de services. 

15 Un logiciel de traduction est un logiciel configure pour un type de carte k micro-circuit 

et traduit une requite de haut niveau regue d'un logiciel duplication en une commande 
elementaire ou une sequence de commandes elementaires ex^cutables par les cartes k 
micro-circuit et/ou une sequence d'Schanges de donnees avec I 'utilisateur. 

Les requites de haut niveau sont une liste de commandes utilisees par les programmes 

20 applicatifs pour faire appel aux services de securite n&ressaires pour identifier et authentifier la 
personne r^alisant la transaction et garantir I'origine, I'integrite et eventuellement la non- 
repudiation de la transaction. Une requete de haut niveau provenant d'une application (se 
trouvant sur un serveur ou sur I'ordinateur personnel PC pu NQ peut etre caracterisee par un 
ou plusieurs des points suivants : 

25 - elle est ind£pendante des moyens de base (moyens cryptograph iques par exemple) 

mis en oeuvre pour satisfaire k sa demande et contient des informations sp£cifiques devant 
Stre traitees par le filtre F. R6ciproquement, plusieurs applications peuvent utiliser le mgme 
fournisseur de services de security, faisant alors appel k la meme interface logique F-API 
definissant ces requites. 

30 - le traitement de la requite permet de lier la transaction de manure certaine k 

I'utilisateur effectuant la transaction k I'aide d'au moins un param£tre secret, fixe ou variable, 
stocke dans la carte k circuit int6gr6 de I'utilisateur. 

- eile comporte eventuellement une information ou des informations permettant au 
logiciel filtre F de verifier son origine et son integrity. L'authentification peut se faire k I'aide 
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d'un code de type " Message Authentication Code ou MAC " ou bien de type " signature 
electronique " assocte k la requite. 

- dans le cas oil la transaction n'est pas saisie par I'utilisateur sur le module terminal 
lui-meme, la requSte contient eventuellement ('information necessaire pour permettre k 
5 I'utilisateur de verifier, s'il le souhaite et si le module terminal supporte cette option, les 
donnees essentielles de la transaction. 

L'interface logique F-API permettant I'echange des requites de security de haut niveau 
entre les applications et le logiciel de traduction du fiitre F peut etre standardise de maniere k 
etre commune k differents programmes applicatifs. Ainsi, la requete de type " Signature * peut 
10 etre utilise par une messagerie electronique ou par un logiciel d'achat. II est ainsi possible de 
changer ('application tout en conservant le fournisseur de services de securite ou 
reciproquement de remplacer le fournisseur de services de securite sans modifier ^application. 

Afin de garantir I'integrite de la chame de confiance entre ('application et la carte, le 
logiciel fiitre F de traduction identifie, voire authentifie I'origine et I'integrite des requetes 
15 qu'il regoit. Differentes methodes peuvent etre envisagees pour identifier ('application 
emettant les requ&tes : 

- un code d'identification peut etre integre dans la requete elle- meme puis v^rifie par le 
logiciel fiitre k partir des informations qu'il contient ou qui peuvent etre stockees dans la 
carte k circuit integre ; 

20 - le meme but peut etre atteint en comparant le r£sultat d'une operation de hachage 
execute par le logiciel fiitre sur le logiciel applicatif emettant la requete avec un resultat 
pr6alablement stocke dans la carte par exemple. Cette derniere solution est particulierement 
adaptee au cas ou I 'application est implantee sur le PC de I'utilisateur ; 

- I'authentification peut egalement etre realisee en associant k la requete un code de type 
25 * MAC " calcuie k partir du contenu de la requete et d'une cie secrete partag£e entre 

^application et le logiciel fiitre. Un principe equivalent peut etre utilise avec une signature de la 
requete calcuiee avec les memes informations et une cie priv6e connue de I'application, la 
signature etant verifiee avec la cie publique correspondante connue du logiciel fiitre. 

La figure 2A dScrit une premiere forme de realisation pour laquelle le module terminal 

30 1 est un ordinateur personnel PC 102, la liaison avecTa carte k circuit integre 31 s'effectuant 
au moyen d'un lecteur 6 connecte ou integre k I'ordinateur PC 102. L'ordinateur personnel 
102 comprend des interfaces d'entree/sortie 102a avec le lecteur 6 et le serveur Sap. Suivant 
la nature du lecteur connecte au PC, les elements d'interface avec I'utilisateur peuvent etre le 
clavier et I'ecran du PC lui-meme, ou bien un clavier et/ou un afficheur de type LCD par 

35 exemple implante sur le lecteur. Dans ce mode de realisation, le fiitre F est implante et 
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execute sur I'ordinateur PC 102. Le filtre F, et done le logiciel de traduction qu'il contient, 
peut alors fitre stocke sur le disque dur HD 102b de I'ordinateur personnel 102. Pour Stre 
execute par I'unite de calcul ou microprocesseur 102c du PC, le logiciel filtre est ensuite 
charge dans la memoire vive RAM 102d de I'ordinateur personnel 102. 
5 Le disque dur d'un ordinateur PC etant difficile k proteger, le logiciel filtre F, ou tout 

au moins la partie sensible de ce logiciel, peut etre chiffre. Pour cela il peut etre decompose 
en au moins 2 modules : un module de chargement/dechiffrement Fed et un deuxieme 
module correspondant au logiciel filtre lui-m§me chiffre, Fchi. Le premier module permet le 
chargement du deuxieme module en memoire RAM, son dechiffrement, puis le lancement 

10 de son execution. En se referant k la Figure 2A, le module logiciel dechiffrt§ et charge en 
RAM est nomme Fdec. 

L'utilisation d'un langage de programmation tel que Java, par des mecanismes de 
security intrins^ques au langage lui-meme, permet de renforcer la protection du logiciel 

Une autre m&hode de verification de I'integrite du logiciel filtre est de faire signer le 

1 5 deuxieme module par une autorite garante du contenu du logiciel filtre au moyen d'une cle priv^e 
conserve secr&e par cette autorite. Le premier module de chargement effectue alors, 
simultanernent k I'operation de dechiffrement, une operation de hachage sur le deuxieme module et 
verifie la signature de ce module au moyen de la cle publique associee & la cle privee de Tautorite. 
L'ensemble des operations decrites dans les paragraphes precedents implique 

20 ^utilisation de eles sur lesquelles reposent la securite de I'application. Ces cl6s peuvent etre 
caches dans le module de chargement, stockees dans le lecteur 6, ou bien stockees dans la 
carte k circuit integre 31 elle-mgme. Un autre mode de realisation possible consiste k 
implanter le module de dechiffrement et de verification d'int^grite dans le lecteur 6. 

L'objet de invention est de s'assurer qu'un pirate ne puisse pas utiliser la carte k 

25 circuit integre d'un utilisateur k son insu, par exemple en modifiant le logiciel filtre piiotant 
la carte ou le logiciel application, ou bien en implantant un logiciel virus qui court- 
circuiterait I'application ou le logiciel filtre mis en place. Le mode de realisation decrit 
pr£c£demment et ses variantes repondent k ces risques, en permettant la verification: 
- de I'integrite du logiciel filtre et 

30 - de I'origine etde I'integrite des commandes envoy£es k la carte k travers le lecteur 6, en 

les authentifiant k I'aide d'un code de type MAC par exemple. La verification du MAC peut etre 
effectuee par le lecteur 6 ou la carte 31. Une protection equivalente pourrait etre obtenue en 
chiffrant le dialogue entre le logiciel filtre et le lecteur 6. Un logiciel virus cherchant k court- 
circuiter le logiciel filtre enverrait done des commandes non authentifiees ou incorrectement 

35 chiffrees au lecteur 6 ou k la carte 31 ; en consequence ces commandes seraient rejetees par le 
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lecteur ou la carte, empfichant le virus d'arriver k ses fins. Afin qu'un fraudeur ne puisse 
determiner les cl6s utilises sur un terminal en analysant le fonctionnement d'un autre terminal, 
les cl6s utilisees par divers terminaux devront Stre diversifies, 

Les m6canismes de chiffrement et de signature qui peuvent Stre envisages pour r6pondre 
5 au besoin de protection du logiciel filtre sont bien connus des hommes de I 'art et reposent sur 
les techniques cryptographiques existantes exposes, par exemple, dans I'ouvrage de Bruce 
Schneier intitule "Applied Cryptography, Protocols, Algorithms, and Source Code in C" publie 
chez John Wiley and Sons, Inc., 1 994, et qui ne seront done pas droits en detail ici. 

L'implantation du logiciel filtre dans un ordinateur personnel PC ne permet pas de 

10 garantir le m§me degr§ de s6curit6 qu'une implantation dans un terminal d£die pouvant 
, offrir des m^canismes de s&rurite materiels supplementaires cqmme decrit dans les autres 
formes de realisation presentees ulterieurement, ces mScanismes procurant une protection 
physique au logiciel filtre et aux secrets qu'il contient. 

Une variante d'exdeution du mode de realisation de la figure 2A est prSsente k la 

15 figure 2B. Cette variante met k profit la souplesse et la facility de connexion d'un ordinateur 
personnel a un r6seau. Cette connexion permet en effet le deport d'une partie du logiciel 
filtre, et en particulier des secrets, dans un serveur s6curis6 Ssec. 

Dans le cas de la Figure 2B, le logiciel filtre est decompose en deux modules logiciels, 
un module F-PC implant^ sur I'ordinateur personnel PC 102 et un module F-SE implante sur 

20 un serveur de s£curit6 Ssec. La m&noire programmable k laquelle il est reference 
pn§c6demment et stockant le logiciel filtre, est done dans cette variante d'execution 
implantee dans le serveur securisg Ssec, e'est-i-dire hors d'atteinte d'utilisateurs non 
autoris£s. De mgme, le logiciel filtre, ou tout au moins la partie sensible du logiciel filtre F-SE 
requ6rant une protection, est execute sur le serveur s£curis£ Ssec. 

25 Le module logiciel F-PC implante sur I'ordinateur personnel PC 102 est relie par un 

canai securis6 CS au serveur de s6curit<§ Ssec. Ce canal s^curise est en fait un canal de 
communication chiffr£ permettant un ^change de donn^es prot6g6 entre les deux modules 
logiciels filtre F-PC et F-SE et 6ventuellement une authentification r6ciproque des deux 
modules F-PC et F-SE. Ce canal s6curis6 peut, par exemple, reposer sur des protocoles de 

30 communication bien connus tels que SSL. 

L'&ablissement de ce canal s&:uris£ CS permet done au premier module logiciel filtre F-PC 
de transmettre au deuxteme module logiciel filtre F-SE, les requites revues de ('application FAp k 
travers Tinterface logique F-API, ainsi que les informations liees k identification de I'application 
emettant ces requfites. Ce deuxteme module logiciel F-SE va ensuite, aprfes avoir verifte les 

35 informations relatives k ('application et, en fonction de I'application et Sventuellement des 
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droits de I'utilisateur, traduire ces requites en une suite de commandes destinees a la carte a puce 
3 1 et au pilotage des echanges de donnees avec I'utilisateur. Ces commandes crees par le module 
F-SE sont ensuite envoyees au premier module F-PC qui les aiguille vers I'element conceme : le 
PC lui meme pour ce qui conceme les commandes de pilotage des echanges avec I'utilisateur ou 
5 bien la carte a circuit integre\ Pour que les commandes de pilotage des echanges avec I'utilisateur 
puissent etre executees sur le PC, le PC devra comporter un module logiciel I, dit interpreteur. Ce 
logiciel interpreteur permet I'affichage de messages sur I'ecran 4 et la saisie d'information par 
I'utilisateur sur le clavier 5. Ce module logiciel interpreteur sera plus precisement decrit en regard 
des figures 4B et 4C. 

1 0 Ce second mode d'execution est base sur les mecanismes decrits a propos du premier 

mode d'execution de la figure 2A en ce qui conceme I 'identification de I 'application 
(hachage ou signature par exemple) et la protection des" commandes envoyees a la carte 
(ajout d'un code de type authentication de message MAC, par exemple). II offre par contre 
un degre de securite superieur dans la mesure ou le module logiciel filtre F-SE assurant la 

15 traduction des requetes de haut niveau recues de I'application Fap est execute dans un 
environnement securise\ Dans le contexte de I'invention, le serveur Ssec est dit securise s'il 
n'est pas accessible physiquement ainsi que logiquement, c'est dire a travers une connexion 
r6seau, a des personnes non autorisees. 

Ce second mode d'execution de la figure 2B est bien adapte a des applications mises en 

20 oeuvre dans un environnement ferm§ ou privatif contrdle par une autorite centrale, car elle 
n6cessite un serveur protegg dont I'administration doit etre centralisee. Ce second mode 
d'execution offre de plus la possibility de definir une politique d'acces centralisee aux services 
cryptographiques offerts par la carte a circuit integre. Cette politique d'acces peut etre basee sur 
les applications requerant les services de la carte et sur les utilisateurs eux memes. Elle permet, par 

25 exemple, dans la cas d'une entreprise ayant distribue' a ses employes ou a ses clients des cartes a 
circuit int6gr6 leur permettant de signer des courriers electroniques ainsi que des transactions 
bancaires, de s'assurer que seuls les utilisateurs autorises pourront signer : ce m^canisme peut etre 
mis en oeuvre grace au canal securis6 CS. A chaque requete de signature emise par une des 
applications considgree comme valide par I'entreprise (la messagerie electronique et le logiciel de 

30 transactions bancaires), le module logiciel F-SE effectuera une demande d'authentification de 
I'utilisateur. Cette demande peut, par exemple, etre effectuee en envoyant un nombre aleatoire, 
challenge ou deTi via le canal securisg CS a la carte 31. Apres saisie par I'utilisateur de son code 
confidentiel, la carte a circuit integre' calculera un motde passe dynamique en chiffrant le d6fi a 
I'aide d'une cl6 secrete qu'elle contient. Le mot de passe sera ensuite transmis via le canal CS au 

35 module logiciel F-SE. Le module logiciel F-SE, connaissant I'utilisateur et done la cl£ secrete 



WO 99/62037 PCT/FR99/01202 

19 

contenue dans sa carte, comparera le mot de passe re$u au mot de passe attendu. Ce mecanisme 
connu sous le nom d'authentification en mode challenge - reponse permet au module logiciel F- 
SE de valider ('identity de I'utilisateur. Ceci permet done k I'entreprise ayant remis les cartes a 
circuit integre aux utilisateurs de s'assuner que seuls les utilisateurs encore autorises peuvent par 
5 exemple signer des transactions bancaires. : 

Le serveur Ssec, grace aux moyens s6curis& et centralises qu'il represente, permet non 
seulement une implantation s6curis6e du logiciel filtre F-SE mais aussi la possibility de mettre en 
place une politique centralist de contr6le de I'utilisation des services de security offerts par la 
carte k circuit integre. Le serveur Ssec permet la mise en place d'une politique centralisee du fait 

10 qu f un mSme serveur peut etre en liaison avec une plurality des modules logiciels F-PC impiantes 
sur les ordinateurs personnels d'une plurality d'utilisateurs. Le serveur Ssec permet ainsi la 
definition et le contrdle centralists des conditions d'utilisation des services de security offerts par 
les cartes remises aux diffenents utilisateurs, en fonction du profit de Implication requerant les 
services et des droits desdits utilisateurs. La mise en place de cette politique centralisee implique 

1 5 done de stocker dans le serveur les informations necessaires, e'est-^dire les droits des utilisateurs 
d'utiliser tel service de securite en liaison avec telle application. 

Ce second mode d'execution de la figure 2B, bien adapts aux environnements prives, 
est par contre difficilement applicable k des applications ouvertes pour lesquelles la mise en 
place d'un serveur central securise Ssec n'est pas envisageable. 

20 La Figure 3 illustre un module terminal reprenant des principes d'architecture 

fonctionnelle similaires k ceux de la Figure 2B dans une forme de realisation differente, ne 
necessitant pas de serveur centralist. Le module terminal selon la deuxitme forme de 
realisation de la Figure 3 presente un tr£s haut degre de, security lui permettant ainsi 
d'assurer directement la protection locale du logiciel filtre F. 

25 Dans le cas de la figure 3, le module terminal 1 se presente sous la forme d'un boitier, 

portable ou non, dont une face porte I'tcran d'affichage 4 et le clavier 5 et dans lequel sont 
implantts des circuits electron iques, de preference de manure telle que ceux-ci soient 
inaccessibles depuis Texterieur. Le boitier 1 contient le lecteur 6 et presente une ouverture 
de reception de la carte k micro-circuit 31 dans le lecteur 6. Le mode d'extcution decrit eh 

30 reference aux Figures 3, 4A, 4B et 4C ne doit pas etre consider comme se limitant k un 
terminal dedie. La description qui suit peut tout k fait Stre appliquee k un terminal construit 
autour d'un ordinateur personnel de type PC ou NC. 

Selon un premier mode d'execution, illustre £ la figure 4A, de cette deuxitme forme 
de realisation du module terminal de la figure 3, les circuits electroniques du module 

35 terminal 1 sont organises autour d'un microcontrGleur standard 2 et d'un microprocesseur 3 
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securis£, qui sont connects entre eux par une liaison et implants de manure permanente 
dans le boitier du module 1 . En variante, le microprocesseur 3 peut §tre enfichable sur le 
module 1 au moyen d'un connecteur 41 represente en traits interrompus k la figure 4A. il est 
d&rrit ici un mode d'exgcution generique bas<§ sur un microcontrdleur standard. Dans un 
5 mode d'execution particulier qui sera decrit ulterieurement, le microcontrdleur 2 peut en fait 
fitre un PC 102 du type de celui presents dans la Figure 2B. 

Le microcontrdleur standard 2 comprend une unite de traitement 2a, de la memoire 
temporaire (RAM) 2b, et de la memoire permanente (ROM) 2c. II s'agit de preference d'un 
microprocesseur "monochip" dont le programme est masque dans la memoire permanente 2c 

10 et qui integre dans un m&me circuit integn§ des moyens de gestion ou pilotage d'interfaces 
standards, I'unite de traitement 2a et les memoires temporaire 2b et permanente 2c. 

Les interfaces ou p<§riph<§riques genres par le microcontrdleur 2 comprennent notamment 
Tdcran 4 d'affichage de donnees, par exemple k cristaux liquides, le clavier 5 pour ('introduction 
de donnees par un utilisateur, le lecteur 6 de carte k micro-circuit, une interface 7 de liaison 

1 5 exteme, par exemple du type RS 232 ou PCM-CIA, une interface 8 de liaison par infrarouge, et un 
dispositif DTMF 9 pour la transmission de donnees sur une ligne tel6phonique. 

Les composants du module 1 comprennent egalement une horloge 10 et une source 
1 1 d'alimentation electrique des differents circuits et composants du module 1, La source 1 1 
d'alimentation electrique peut Stre constitute par des piles ou une batterie si le module 1 est 

20 portable et autonome. 

La &che du microcontrdleur standard 2 est de gerer I'environnement, c'est^-dire de pjloter 
les interfaces 4-9 et I'horloge 10, ainsi que la source d'alimentation 1 1 pour alimenter seieetivement 
le microprocesseur securise 3 en energie electrique dans le cas d'un module 1 autonome. 

Le microcontrdleur standard 2 n£cessite ainsi peu de puissance de calcul, peu de 

25 memoire temporaire (RAM) et pas de memoire semi-permanente (EPROM ou EEPROM). Le 
microcontrdleur 2 est protege en Venture du fait que ses programmes (pilotage d'interfaces 
et, comme decrit dans la suite, interpreter, gestion des horloges et de I'alimentation 
electrique, etc..) sont masques en memoire permanente 2c. Comme cela apparaitra dans la 
suite, le microcontrdleur standard 2 peut egalement contenir un ou plusieurs param&res 

30 secrets, sur la base desquels il peut fitre authentic par le microprocesseur securise du 
module terminal et/ou d'une carte k circuit integre. Ces secrets doivent done 6tre proteges en 
lecture et en ecriture. lis seront de preference stockes dans la memoire temporaire (RAM) 
d'un microprocesseur "mono chip", qui n'est accessible ni en ecriture, ni en Venture depuis 
i'exterieur. Le microcontrdleur standard 2 peut egalement etre pourvu de fonctions de 
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securite complgmentaires, par exemple pour interdire des fraudes telies que I'affichage de 
dbnnees differentes de celles provenant du microprocesseur 3. 

II s'agit par consequent d'un microcontr6leur d'un faible cout et ayant une faible 
consommation electrique, qui est particulterement adapts k un produit portable. Ce 
5 microcontrdleur peut etre par exemple du type MSM 63 1 80 de la Society OKI. 

De preference, deux horloges sont prevues en 10 : une horloge k frequence basse 10a, 
par exemple de frequence 32,368 KHz et une horloge k frequence <§lev£e 1 0b, pouvant alter 
de 1 MHz k 12 MHz par exemple Le microcontrdleur 2 commande la connexion de son 
horloge systeme sur Tune ou I'autre de ces deux horloges. 

10 L'horloge lente 10a cadence un dispositif de temporisation 2d du microcontrOleur 2 

ayec une periode de 0,5 s pour realiser une horloge temps r<§el dans le module 1 . L'unite de 
traitement 2a peut £galement fonctionner k I'aide de l'horloge lente 10a pour les fonctions 
ne ntkessitant pas de vitesse de calcul : dans ce cas l'horloge systeme du microcontrdleur 2 
est connects sur l'horloge lente 10a et l'horloge rapide 10b est arrgtee. Ce mode de 

15 fonctionnement permet de limiter la consommation electrique du module 1, ce qui est 
avantageux si celui-ci est portable et aliments par une pile electrique. 

Le microprocesseur 3 s£curis£ en lecture et en Venture comprend une unite centrale 
3a et des memoires temporaire (RAM) 3b et permanente (ROM) 3c, ainsi qu ! une memoire 
semi-permanente reprogrammable electriquement (EEPROM ou Flash RAM par exemple) 3d 

20 pour le stockage, entre autres, des programmes duplication du module 1 . 

Ce microprocesseur securise 3 est du type de ceux utilises dans les cartes k micro- 
circuit et il presente un nombre limits d'entrees et de sortie, ses bus internes etant 
inaccessibles depuis l'ext£rieur. De par sa fabrication, il integre d'autres mecahismes de 
securite propres k ce type de microprocesseur et bien connus des specialistes de la 

25 technique, tels que matrice de securite, brouillage de memoire, contrdle de la frequence 
d'horloge, contrdle de la remise k zero (RESET), etc... 

Grace au fait que le microprocesseur 3 poss£de une memoire semi-permanente 3d, il 
est possible d'y charger depuis I'ext6rieur, par exemple k partir d'un serveur ou d'une carte k 
micro-circuit, un ou des programmes duplication. II est ainsi possible, en fonction des 

30 besoins, de faire 6voluer la ou les applications (contrdle d'acc£s, transaction financiers et/ou 
commerciales, porte-monnaie electronique, etc..) auxquelles est destine le module 1. II est 
egalement possible, si la taille de la memoire semi-permanente 3d le permet, d'y implanter 
de nouvelles applications au cours de son utilisation. 

Selon la version choisie, le microprocesseur securise 3 peut assurer le calcul de 

35 fonctions cryptographiques requ^rant des calculs importants mis en oeuvre dans les 
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algorithmes asymetriques de type RSA ou DSA ; ou bien mettre en oeuvre des algorithmes 
plus simples, par exemple du type DES. 

Le microprocesseur securise 3 peut etre, par exemple : 

- un microprocesseur SIEMENS SLE44C160S, non cryptographique, dote de 14 Ko de 
5 memoire ROM et de 1 6 Ko de memoire EEPROM ; 

- un microprocesseur SGS THOMSON ST1 6CF54A cryptograph ique dote de 1 6 Ko de 
memoire ROM, de 4Ko de memoire EEPROM et de 480 octets de memoire RAM ; 

- un microprocesseur PHILIPPS P83C858 cryptographique dote de 20 Ko de memoire 
ROM et de 8 Ko de memoire EEPROM. 

10 Le microprocesseur securise 3 est connecte, d'une part par la liaison 12 au 

microcontrdleur standard 2, d'autre part par des liaisons 1 3 et 14 k ^interface externe 7 et au 
lecteur 6 de carte k micro-circuit par Pintermgdiaire de commutateurs-adaptateurs d'interface 
15 et 16 respectivement. Les commutateurs-adaptateurs 15 et 16 sont commandes par le 
microcontrdleur standard 2 via des liaisons 1 7 et 1 8 respectivement. 

15 Le microcontrdleur standard 2 comprend un programme d' interpretation ou 

interpreter 20 (Fig. 4B et 4C) stocke dans la memoire ROM 2c et permettant & ceiui-ci 
d'executer des commandes g£n£rees par le logiciel de traduction des requetes de haut 
niveau faisant partie du ou des programmes d'application, comme cela sera decrit dans la 
suite. Cet interpreter 20 permet ainsi au(x) programme(s) d'application stocke(s) dans le 

20 microprocesseur securis^ 3 de piloter les interfaces 4-9 via la liaison 12, Cependant, le ou les 
programmes duplication peuvent gtre localises et executes ailleurs que dans le 
microprocesseur 3 securise en lecture et en Venture, par exemple dans une carte a micro- 
circuit 31 ins6r£e dans I'interface 6, telle qu'une carte adaptee pour supporter des 
m6canismes de teiechargement et d'execution des applications comme decrit dans la norme 

25 NF EN 726-3 intituiee "Cartes k circuit integre et terminaux pour les telecommunications. 
Partie 3 : Specifications de la carte independantes des applications". 

Les programmes d'application peuvent en outre, en fonction des regies de securite 
auxquelles ils sont soumis, fitre distribues entre ces differentes localisations. 

Le schema fonctionnel de la figure 4B illustre une premiere configuration 

30 d' architecture logicielle du module 1 de la figure 4A dans laquelle I'ensemble des 

programmes d'application A1, A2, An et des fonctions de securite (calcul de condense, 

algorithmes cryptograph iques symetriques tels que DES, triple DES, ou asymetriques tels que 
proposes par RSA) est mis en oeuvre dans le microprocesseur securise 3. 

Les applications nommees ci-dessus et dans la suite de la description Al, A2, An 

35 comprennent au minimum les filtres F1, F2, Fn, et done en particulier les logiciels de 
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traduction des requites Smises par le ou les fournisseurs de services appiicatifs FAp faisant 
partie de I'application principale 54 (Figure 8A). 

Le microcontrOleur standard 2 g£re I'environnement au moyen de differents 
programmes de gestion ou gestionnaires d'interface k savoir : 
5 - un gestionnaire 21 du lecteur ou interface 6 de carte k micro-circuit; 

- un gestionnaire 22 de ('interface 7 de liaison sSrie ; 

- un gestionnaire 23 du clavier 5 ; 

- un gestionnaire 24 de Interface 8 de liaison par infrarouge ; 

- un gestionnaire 25 de I'afficheur 4 ; 

10 - un gestionnaire 26 de I'horloge 10 et de la source d'alimentation 11; 

- un gestionnaire 27 de Pinterface DTMF 9 ; 

- un gestionnaire 28 d'autres interface, dans I'hypothSse ou le module 1 comporte une 
ou des interfaces autres que celles representees k la figure 2. 

Ainsi, le microprocesseur securisS 3 peut piloter les interfaces au moyen de 

15 commandes qui sont interpretees par I'interpreteur 20 et ex^cutees par le microcontrdleur 
standard 2 grace aux gestionnaires 21-28. 

La figure 4C illustre une seconde configuration logicielle du module 1 de la figure 4A 
dans laquelle une ou plusieurs applications Ax et une ou plusieurs fonctions 
cryptograph iques Sx sont stockees dans une memoire reprogrammable 30a d'un 

20 microprocesseur securise 30 d'une carte £ micro-circuit 31 . Lorsque la carte 31 est introduite 
dans le lecteur 6, le microprocesseur 30 execute les applications Ax et les fonctions 
cryptographiques Sx, tandis que d'autres applications et fonctions de security peuvent etre 
residentes dans et mises en oeuvre par le microprocesseur securise 3 du module 1. C'est 
ainsi, par exemple, que le microprocesseur 30 de la carte 31 peut assurer une fonction de 

25 signature electronique dans I'hypothdse ou le microprocesseur securis£ 3 n'integre pas un 
processeur de calcul dedi£ (cryptoprocesseur). Reciproquement, si le microprocesseur 
securise 3 integre un cryptoprocesseur, il est <§gaiement possible qu'une application presente 
dans la carte k micro-circuit 31 fasse appel k des commandes cryptographiques du module 
1, commandes qui seront executes par le microprocesseur securisd 3. 

30 Dans cette seconde configuration, qui pour le reste est identique k celle de la figure 4B, 

I'interpreteur 20 joue vis-a-vis du microprocesseur 30 le meme rflle que celui qu'il remplit vis- 
k-v\s du microprocesseur securise 3. Le module 1 peut ainsi executer des applications 
differentes selon le type de carte 31 k micro-circuit introduit dans le lecteur 6, par exemple : 
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- une authentication de I'utilisateur dans le cadre d'une transaction bancaire 
(consultation de compte, virement de fonds, etc..) effectuee via une ligne telephonique au 
moyen de I'interface DTMF 9 ; 

- une consultation du solde d'un porte-monnaie £lectronique, ou le rechargement de 
5 ce porte-monnaie, k partir du module 1, lorsqu'une carte k micro-circuit 31 remplissant la 

fonction de porte-monnaie est introduite dans le lecteur 6. En outre, fe module 1 permet de 
gerer plusieurs cartes porte-monnaie differentes : porte-monnaie bancaire, porte-monnaie 
specif ique k une collectivity par exemple ; 

- lecture d'un dossier medicalsur une carte medicale ; 

10 - lecture de points de fidelity sur une carte dans laquelle des points de fid£lite sont 

attribues k un consommateur en fonction d'achats effectues, de sa participation k des 
operations de fidSlisation de clientele, etc... 

Le mode d'execution decrit ci-dessus k la Figure 4A ainsi que les configurations 
logicielles presentees dans les Figures 4B et 4C s'appliquent, de maniere analogue, a un 

15 terminal construit autour d'un PC conventionnel equips en outre du microprocesseur 
securis£ 3. Dans ce mode d'execution, le microcontrdleur 2 correspond au PC 102 tel qu'il 
est pr&ente k la Figure 2A, l'unit§ de traitement 2a correspond au microprocesseur 102c du 
PC, et les m^moires RAM 2b et permanentes 2c correspondent respectivement k la memoire 
RAM 102d et au disque dur 102b. De mgrne les entrees / sorties 102a du PC correspondent 

20 aux modules d'interfaces 7, 8 et 12 de la Figure 4A. La connexion entre le microprocesseur 
s6curise 3 et le PC 102 peut §tre une liaison serie ou paraliele, ou bien encore une 
connexion au bus interne du PC, du type PCMCIA, ou une connexion directe sur la carte 
m6re du PC. En variante, \e microprocesseur securise 3 peut §tre integre de manure fixe, pu 
amovible via le connecteur 41 , au clavier du PC, 

25 Dans ce cas, le module logiciel interpreter 20 ainsi que les modules logiciels de 

gestion des peripheriques 21 k 28 sont implantes et executes sur le PC. L'architectUre 
fonctionnelle de ce mode d'execution est equivalente k celle presentee k la Figure 2B, le 
module interpr&eur 20 ainsi implants sur le PC assurant le m6me r&le que le module 
interpr&eur I de la Figure 2B : il execute les commandes de pilotage des ^changes avec 

30 I'utilisateur revues du logiciel filtre F lui-m&me implant^ de manure securise dans le 
microprocesseur 3 (Figure 4B) ou la carte ci circuit integre 30 (Figure 4C). 

Le schema de la figure 5 illustre un deuxi£me mode d'execution de la deuxi£me forme 
de realisation de Pinvention, dans lequel les circuits electroniques du module terminal 1 sont 
organises autour d'un seul microcontrfileur 29 remplagant le microcontroleur 2 et le 

35 microprocesseur 3 et pouvant offrir le meme type de protection physique et logique que les 



WO 99/62037 PCT/FR99/01202 

25 

microprocesseurs congus pour les cartes k circuit integre. Ce microcontrOleur g£re I'ensemble 
des moyens d'interfaces 4-9 du module terminal. II comporte une unite de traitement 29a, une 
rctemoire temporal re (RAM) 29b, une memoire permanente (ROM) 29c et une memoire semi- 
permanente (EEPROM) 29d permettant le stockage du logiciel de traduction. L'unite de 
5 traitement 29a correspond k la fois k l'unite 2a de traitement de donnSes permettant le pilotage 
des interfaces et k l'unite 3a de traitement permettant I'ex^cution du logiciel de traduction. De 
mSme que pr&tedemment, le module terminal 1 peut §tre construit autour d'un ordinateur 
personnel PC 102 auquel serait connecte au bus interne un microcontr6leur securise 29 
pilotant ainsi directement I'Scran d'affichage 4 et le clavier 5 du PC. 

10 Dans une variante de realisation, la memoire dans laquelle est stockee le logiciel de 

traduction des requfites de haut niveau, memoire volatile de type RAM avec une alimentation de 
sauvegarde ou semi-permanente (EEPROM ou Flash RAM), peut 6tre exteme au microcontr&leur 
29. Dans ce cas, le logiciel de traduction peut etre chiffre et signe, ou protege par un code de type 
MAC ("Message Authentication Code") de manure k assurer k la fois son integrite et sa 

1 5 confidentiality. Le logiciel est lu par le microcontrfileur 29, dechiffre puis execute. 

Selon un troisteme mode d*ex6cution, represents k la figure 6, de la deuxieme forme 
de realisation de Tinvention, le module terminal 101 est dSpourvu de microprocesseur 
s6curis6 3. Sur cette figure 6, les memes nunteros de reference qu'k la figure 4A ont 6te 
conserves pour designer les mgmes Elements. Le microcontrOleur 2 pilote I'interface 6 et le 

20 commutateur-adaptateur 15 pour permettre la connexion du microprocesseur securise 130 
d'une carte k micro-circuit programmable 131 ptesente dans I'interface 6 avec I'interface de 
liaison externe 7. Dans ce cas, I'ensemble des applications A et des fonctions 
cryptographiques C sont memorises dans une memoire semi-permanente 130a (EEPROM 
ou Flash RAM) du microprocesseur s6curis6 130 de la carte k micro-circuit programmable 

25 1 3 1 , et mises en oeuvre par ce dernier comme dScrit k la figure 4C k propos des applications 
Ax et des fonctions cryptographiques Cx. 

Dans les exemples droits pr&tedemment, dans un but de simplification, le 
microprocesseur 30, 130 de la carte k circuit integte ainsi que le microprocesseur securise 3 
Sventuellement implante dans le module terminal comporte un seul port de communication. 

30 Ceci implique que dans ces exemples, les ^changes entre les differentes entites, k savoir l'unite 
Slectronique 154 (figure 8) contenant I'application principale, le microprocesseur securise 3 et 
le microprocesseur 30, 130 de la carte circuit integte se font k travers le microcontroleur 2 ou 
29 du module terminal. Ces descriptions ne doivent pas fitre considerees comme limitatives : 
d'autres mises en oeuvre peuvent 6tre envisages dans le cadre de la presente invention. En 

35 effet, les microprocesseurs s£curis£s de carte k circuit integre actuellement disponibles, 
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utilisabies pour la carte elle mfime (microprocesseur 30, 130) ou dans le module terminal 
(microprocesseur 3), peuvent comporter deux ports de communication. Differentes formes de 
realisation optimisant les flux de communication sont done aisement envisageables avec ce 
type de microprocesseur. Dans le cas de la figure 4C, par exemple, un des ports de la carte k 
5 circuit int£gr£ 31 peut etre dedie au pilotage de I'interface utilisateur et done relie au 
microcontr&leur 2, I'autre port 6tant relie k I'unitS §lectronique comportant ('application 
principale moyennant une adaptation d'interface appropriee. 

Suivant une caracteristique importante de I'invention, un logiciel filtre est implante 
dans la memoire reprogrammable EEPROM assoctee au microprocesseur s^curise 3 ou 29 
10 du module terminal 1 et/ou au microprocesseur securise 30, 130 de la carte 31, 131. Ce 
logiciel filtre traduit de maniSre connue les requites de haut niveau en provenance du 
serveur Sap ou de I'ordinateur personnel PC en sequences de commandes elementaires 
executables par ces microprocesseurs (commandes qui sont notamment definies par la partie 
4 de la norme ISO 7816-4). En outre, suivant ('invention, ce logiciel filtre traduit ces requetes 
15 de haut niveau en sequences d'6changes de donn6es entre le moduie terminal 1, 101 et un 
utilisateur via les moyens d'interface tels que I'afficheur 4 et le clavier 5. 

Cette solution offre I'avantage de r&iuire considerablement le debit de donnees 
6chang6 entre le module terminal 1, 101 et le serveur Sap ou le PC, mais requiert une 
implantation s£curis6e du logiciel de traduction pour empficher que les instructions 
20 envoyees £ la carte h micro-circuit soient modifies. 

Ce logiciel filtre fait partie integrante de la partie du logiciel d'application implantee 
dans le module terminal 1 et/ou la carte 31, 131 et il est done t£l6chargeable. 

La figure 7 illustre ('architecture logicielle conventionnelle d'une carte a micro-circuit 
("smart card"). 

25 Les differentes couches de logiciels sont representees par un bloc 43 qui comprend 

une couche logicielle 44 "protocole de communication" permettant de recevoir des 
commandes. Ces commandes sont d6cod£es par une couche logicielle 45 "Interpretation 
commandes APDU" (APDU : "Application Protocol Data Unit" dont le role est d'orienter les 
commandes vers des modules de traitement qui peuvent etre : 

-30 " - un logiciel 46 de services de gestion de fichiers securises ; 

- un logiciel 47 de services cryptograph iques ; 

- un ou d'autres logiciels d'application 48 

Les modules de traitement 46, 47, 48 s'appuient sur des services de base offerts par le 
systeme d'exploitation 49 de la carte k micro-circuit. 
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La figure 8A i I lustre I' architecture logicielle d'un systeme de mise en oeuvre de 
transactions s6curis6es faisant appel k des modules terminaux 1 dotes d'un microprocesseur 
s6curis6 3, confornrtement au mode d'execution de ('invention de la figure 4A. 

Le bloc 51 d6signe les logiciels executes par le microprocesseur securis^ 3 du module 
5 . terminal 1, le bloc 52 les logiciels executes par le microcontrdleur 2 ou PC 102 du module 
terminal 1, le bloc 53 les logiciels executes par le microprocesseur 30 d'une carte k micro- 
circuit 31, et le bloc 54 le logiciel principal duplication, ou Fournisseur de services 
applicatifs, implante dans le serveur Sap ou un ordinateur personnel PC. 

Le bloc 51 est similaire au bloc 43 de la figure 7, c'est-S-dire que le microprocesseur 
10 securise 3 a une architecture semblable k celle d'une carte k circuit integte. Le bloc 51 comprend: 

- un logiciel 60 de protocole de communication. 

- un systeme d'exploitation 61 

- un bloc 62 representant la partie du logiciel duplication implantee dans le module 
terminal 1, cette partie du logiciel duplication etant essentiellement constitute du logiciel 

15 filtre precite. Differents modules logiciels de ce type correspondant k difterentes applications 
peuvent cohabiter dans le microprocesseur securis£ 3. 

- optionnellement, un logiciel 63 permettant d'assurer ['authentication du 
microcontrdleur standard 2 par le microprocesseur s£curis6 3 et ('authentication du 
microprocesseur s6curis6 3 du module terminal 1 par le microprocesseur 30 de la carte 31, 

20 - un logiciel 64 de gestion de fichier s£curis6, 

- un logiciel 65 de services cryptographiques. 

Le bloc 52 comprend : 

- un logiciel 70 de protocole de communication ; 

- un interpr&eur de commandes 71 correspondant au logiciel 20 des figures 4B et 4C ; 
25 - un logiciel d'authentification 72 permettant, en liaison avec le logiciel 63, I'authentification 

du microcontr6leur standard 2 par le microprocesseur stcurise 3 du module terminal 1 ; 

- des logiciels 73 de gestion des ressources internes du microcontroleur 2 ; " 

- des logiciels 74 de pilotage des interfaces avec I'utilisateur (gestionnaires 23 et 25 de 
I'ecran 4 et du clavier 5) ; 

30 - des logiciels 75 de pilotage des interfaces de communication 7, 8 et 9 (gestionnaires 22^ 
24,27); 

Enfin, le bloc 53 est similaire au bloc 43, mais ne comporte pas, dans I'exemple decrit 
par la figure 8A, de logiciel d'application ou filtre. II comprend :. 

- un logiciel 80 de protocole de communication, 

-35 - un logiciel 81 d'interptetation de commandes APDU, 
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- un logiciel 82 de services de gestion de fichier s6curis6 (contr6le du PIN par exemple), 

- un logiciel 83 de services cryptographiques (calculs cryptographiques symetriques k c\€s 
secretes ou asymetriques, k cISs publiques et cl&s privies, etc..) permettant, entre autres, 
d'assurer, en liaison avec le logiciel 63, Pauthentification du microprocesseur s6curis£ 3 du 

5 module terminal 1 par le microprocesseur 30 de la carte 31, 

- le systeme d "exploitation 84 du microprocesseur 30 de la carte 31 . 

Le protocole de communication 60, 70, 80 peimet de gerer les ^changes de donnees entre: 

- le microprocesseur 30 de la carte 31 et le microcontrdleur standard 2 ou PC 102 du 
module terminal 1 ; 

10 - le microprocesseur sScurisg 3 et le microcontrdleur 2 du module terminal 1 ; 

- le microprocesseur securise 3 du module terminal 1 et le microprocesseur 30 de la carte 31 . 

La figure 8B est une vue similaire k la figure 8A illustrant ('architecture iogicielie du 
systeme dans le cas ou le module terminal 101 ne comporte pas le microprocesseur securise 
3, conformement au troisteme mode d'execution du deuxteme mode de realisation de 

1 5 ('invention de la figure 6. 

Sur la figure 8B, le bloc 152 d£signe les logiciels executes par le microcontrdleur 2 du 
module terminal 101, le bloc 153 les logiciels executes par le microprocesseur 130 d'une 
carte k micro-circuit programmable 131, et le bloc 154 le logiciel principal duplication 
implants dans le serveur Sap ou un ordinateur personnel PC. 

20 Le bloc 152 comprend les memes logiciels 70, 71 et 73 k 75 que le bloc 52 de la 

figure 8A, et un bloc 76 qui est un logiciel d'authentification du microcontrdleur standard 2 
du module terminal 101 vis-^-visdu microprocesseur 130 de la carte 131. 

Le bloc 153 relatif au microprocesseur 130 de la carte 131 comprend les logiciels 62 
et 80 k 84 des blocs 51 et 53 de la figure 8A, ainsi qu'un logiciel 77 permettant, en liaison 

25 avec le logiciel. 76, d'assurer Pauthentification du microcontrdleur standard 2 du module 
terminal 101 vis-&-vis du microprocesseur 130 de la carte 131. 

A la difference d'un systeme conventionnel, dans le systeme de transaction securi$6e 
selon Pinvention, le logiciel filtre 62 qui traduit les requites de haut niveau de Papplication 
eh commandes 6lementaires executables par une carte k micro-circuit est implants dans 

30 Penvironnement utilisateur securise, c'est^-dire soit dans le module terminal 1 (pour les 

applications A1 ; A2 An des modes d'execution des figures 4A-4C et 5), soit dans une carte 

31, 131 k m6moire semi-permanente utilisable avec le module terminal 1, 101 (pour les 
applications Ax du mode de realisation de la figure 4C et pour toutes les applications du 
mode de realisation de la figure 6). 
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Outre sa fonction de gestion d'une carte k micro-circuit, ce logiciel filtre 62 g£re les 
interactions avec I'utiiisateur, c'est-^ire les sequences d'echange de donnees entre un 
utilisateur et le module terminal qui sont requises dans le cadre d'une application, ^changes 
qui ont lieu par I'intermediaire des moyens d'interface, a savoir I'ecran 4 et le clavier 5. II est 
5 a noter que ('invention n'est pas limine a I'utiiisation d'un ecran et d'un clavier comme 
interfaces avec I'utiiisateur et que tout autre type d' interface, par exemple vocale, pr&entant 
I'ergonomie requise, pourrait convenir. 

Grace a I 'implantation sScurisee du logiciel filtre 62 dans le microprocesseur securisg 
3 ou 29 du module terminal 1 ou le microprocesseur 30, 130 de la carte a micro-circuit 31 , 
10 131, la securite des transactions est assume. En effet, les des et regies necessaires pour 
aco§der a des fichiers de la carte a micro-circuit 31, 131 sont contenues dans le logiciel de 
traduction 62 et sont done inaccessibles a des tiers. 

Les fonctions remplies par le logiciel filtre 62 seront illustrees ci-apr$s en prenant 
I'exemple d'une application visant le commerce <§lectronique. L'application met en oeuvre 
15 les entites suivantes : 

• un acheteur 

• un commergant, 

• une banque. 

Le commerfant dispose d'un serveur de commerce 6lectronique Sap (serveur Web) 
20 accessible depuis le reseau Internet. Les acheteurs sont £quipes de: 

• un ordinateur PC permettant d'acc^der au serveur Sap de commerce 
electronique, et grace auquel I'acheteur peut consulter un catalogue de marchandises. 

• une carte a circuit int6gr6 31 d£livr6e par la banque et dont le microprocesseur 
30 contient une cl6 privee, mais ne dispose pas de capacity cryptographiques permettant 

25 d'effectuer une signature, 

• un module terminal 1 selon le mode de realisation de la figure 4A, dote d'un 
microcontrfileur standard 2, d'un microprocesseur s^curise 3 disposant de capacity 
cryptographiques permettant la signature d'un message, d'un clavier 5, d'un afficheur 4, d'une 
interface carte a circuit int6gr£ 6 et d'une interface s6rie 7 pour sa connexion a un ordinateur PC. 

30 Les principes de fonctionnement sont les suivants : la transaction est sign£e par le 

module terminal 1 a I'aide d'une cl§ privee d&enue par la carte 31. Cette cl6 privee est 
protegee par un code porteur confidentiel (PIN) que I'acheteur doit saisir en milieu $6curise, 
done sur le terminal 1, et par une authentication prealable du terminal 1 par la carte 31 a 
I'aide d'une cle secrete Kauth. De plus la cl6 privee est transmise de manure chiffree (par une 
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cI6 Kchif) de manure k &ablir un canal de communication securise entre le microprocesseur 
30 de la carte k circuit integree 31 et le microprocesseur securise 3 du terminal 1 . 

La figure 9 illustre les ^changes entre les differentes entity : 

a, I'acheteur constitue sa commande sur Pordinateur PC, 
5 b. Pordinateur PC elabore la transaction k faire signer par I'acheteur (reference article, 

prix) et demande la signature de cette transaction au module terminal 1, 

c. le module terminal v£rifie I'origine de la demande de signature puis sollicite la 
saisie du code PIN par affichage d'un message "saisie PIN" sur son afficheur 4, 

d. I'acheteur saisit son code porteur (code PIN) sur le clavier 5 du module terminal 1, 
10 e. le PIN est envoye par le module terminal 1 k la carte 31 pour verification. Cette 

verification <§tant positive, elle provoque la lev<§e d'une de deux conditions d'acc^s k la 
lecture de la de privee, 

f. le module terminal 1 affiche la transaction sur son afficheur 4, 

g. I'acheteur donne son accord, par appui sur une touche "validation" du clavier 5 du 
1 5 module terminal 1, 

h. le module terminal 1 soumet une demande d'authentification externe k la carte 31. 
Cette authentification externe permet au microprocesseur s<§curise 3 du module terminal 1 
de s'authentifier vis-S-vis du microprocesseur 30 de la carte 31 et de lever ainsi la deuxteme 
protection d'acc^s k la cl6 privee. Cette authentification se fait en mode challenge/r£ponse 

20 sur la base d'un secret., Kauth, partagS par le module terminal 1 et la carte 31 , 

i. le module terminal 1 envoie une demande de lecture de cl6 privee k la carte 31, 

j. toutes les conditions d'acces etant remplies, la carte 31 accepte la demande de 
lecture, et renvoie la cle privee, chiffee par une cl6 secr&e, Kchif, partagee par la carte 31 et 
le module terminal 1 , 

25 k. le module terminal 1 dechiffre la cle privee, signe la transaction au moyen de la cle 

privee, d&ruit la cl6 privee, se d&ronnecte de la carte 31 et envoie e la transaction signee k 

Pordinateur PC qui la transmet au serveur S. 

Cet exemple peut Stre transpose aisement k une transaction electronique effectuee 

sans ordinateur PC, le module terminal 1 se connectant directement k un serveur Sap par 
30 une liaison modem (figure 3), I'acheteur entrant la commande (reference produit) sur le 

module terminal 1 . 

II est k noter que Pauthentification du microprocesseur securise 3 par la carte peut 
aussi &tre effectu£ k travers la commande de lecture de cle privee en lui associant un code 
d'authentification MAC (Message Authentification Code) calcule au moyen d'une cle secrete. 
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Cet exemple montre que le logiciel filtre 62 permet de traduire une requete de haut 
niveau "demande de signature de transaction" en une multitude de requites £lementaires 
adress^es aux differentes interfaces du module terminal savoir ('interface 6 avec la carte 
k circuit integn* 31 , ['interface afficheur 4, ('interface clavier 5, ('interface de connexion k 
5 I'ordinateur PC ou au serveur Sap. 

Un tel logiciel filtre de traduction a un r6le d'ecran, de filtre entre le monde exterieur, 
c'est k dire les applications, et les p^ripheriques qu'il g£re. 

II ameliore la security offerte du fait que : 

1 . il impose un s^quencement aux ordres £l£mentaires envoy^s. Par exemple, dans le cas 
10 illustre ci-dessus, il impose que la transaction soit valid£e par I'utilisateur avant d'etre signee. 

2. il dispose seul des param&res secrets permettant de gen£rer et d'authentifier ces ordres 
6l£mentaires. Ainsi il dispose seul des des d'authentification et de chiffrement permettant de 
lire et dechiffrer la de priv£e. 

Lorsque le logiciel filtre est execute dans te microprocesseur s£curis£ 3 du module 
15 terminal 1, ces proprietes permettent d'imposer une politique d'acc^s k la carte 31, politique 
qui n'est pas toujours compl&ement imposee par la carte elle-m§me, ou d'etendre les 
capacites d'une carte (capacity de signature d£legu£e au module terminal, utilisation dans un 
contexte non pr£vu lors de son d^ploiement initial). 

Les avantages offerts en terme de s£curit£ par ('execution du logiciel filtre dans le 
20 microprocesseur securise du module terminal ou dans celui de la carte k circuit integre ne 
sont possibles que parce que le logiciel s'ex£cute dans un environnement securise 
permettant d'assurer que : 

• les secrets contenus par le logiciel filtre ne sont pas accessibles du fait qu'ils sont 
memorises au sein du microprocesseur securisS 3, 29, 30 qu 1 30, 
25 • la confidential ite et Pintegrite du logiciel filtre sont preserves, du fait que ce 

logiciel est memorise dans la microprocesseur securise 3, 29, 30 ou 1 30. 

Dans le cas oCi le module terminal 1 est un produit d£die, disposant de ses propres 
interfaces, afficheur 4 et clavier 5, 1'objectif de securite est atteint grace au fait que le logiciel 
pilotant les ^changes de donnees avec I'utilisateur ne peut gtre modify, dans la mesure ou il 
30 est stocks de mantere definitive dans la m£moire permanente 2c du microcontraieur 2 ou de 
mantere s6curis6e dans le microcontrdleur 29. L'utilisateur peut ainsi valider en toute 
confiance le contenu de sa transaction grace k P afficheur 4 et au clavier 5, rendant optionnel 
la necessity de verifier Pidentite de Papplication ou Porigine et Pint6grite des requites. 

D'autres m6canismes peuvent encore am£liorer le niveau de security de la chaine de 
35 confiance entre le microprocesseur securise de la carte & circuit int£gr6, Peventuel 
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microprocesseur securise du module terminal, le microcontrdleur standard ou le PC du 
module terminal et Putilisateur. Ces mecanismes sont les suivants : 

A) telechargement securise du logiciel filtre ; 

B) authentification du microcontrdleur standard par le microprocesseur securise ou, ce 
5 qui est equivalent mais mieux adapte dans le cas d'un mode d'execution du terminal autour 

d'un PC, authentification du module logiciel interpreter I (20) par le logiciel filtre F (62), 
et/ou etablissement d'un canal de communication securisee entre ces deux microprocesseurs 
ou les logiciels I et F, 

C) protection d'un secret par le microcontrdleur standard , 

10 D) authentification mutuelle et etablissement d'un canal de communication securise 

entre le microprocesseur securise de la carte k circuit integre et le microprocesseur, securise 
du module terminal, 

E) authentification du module terminal, et eventuellement du couple module terminal- 
carte, 

15 F) authentification de la carte k micro-circuit par le module terminal. 

A) Telechargement securise du logiciel filtre 

L'organigramme de la figure 10 illustre le processus de telechargement d'un 
programme duplication (logiciel filtre) dans le microprocesseur securise 3 ou 29 du 
module 1 ou le microprocesseur securise 30, 130, d'une carte 31, 131 presente dans le 

20 lecteur 6, Ce telechargement peut Stre effectue k partir d'un serveur Sap via, par exempie, 
I'ordinateur personnel PC et I'interface 7 de liaison externe ou Tinterface 8 de liaison 
infrarouge, ou directement au moyen d'une* liaison teiephonique grace k I'interface 9 de 
liaison par DTMF. Le teiechargement peut egaiement fitre effectue dans le microprocesseur 
securise 3 ou 29 (si le module terminal en est equipe) k partir d'une carte k micro-circuit 

25 introduite dans le lecteur 6. 

A I'etape 32, la zone de la memoire 3d allouee au programme d'application a recevoir 
est vide et le microprocesseur 3 est en attente du chargement du programme d'application k 
la suite d'une requite de chargement. 

L'etape suivante 33 correspond k une procedure d'authentification par le 

30 microprocesseur 3 de I'entite appelee k telecharger le programme d'application (Emetteur). 
Cette procedure d'authentification peut faire appel, par exempie, k des mecanismes de 
chiffrement bien connus des specialistes de la technique, par exempie des mecanismes 
symetriques k cles secretes partagees ou des mecanismes asymetriques k cle privee et cie 
publique. 
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L'etape 34 est un test visant k determiner si la procedure d'authentification a reussi : 
dans la negative, le message "acces refuse" est affiche sur I'ecran 4 (etape 42) et le 
programme retourne k l'etape 32; dans Paffirmative, le processus de chargement du 
programme duplication commence k l'etape 35. 
5 L'etape 36 correspond au stockage dans la memoire EEPROM 3d des trames.de 

donn^es transmises par I'entite assurant le telechargement. 

L'etape 37 est un test pour determiner si le teiechargement est acheve : dans la negative, 
le programme de teiechargement revient k l'etape 36 et le teiechargement se poursuit ; dans 
('affirmative, il est procSde k l'etape 38 k une verification de I'integrite des donn^es revues par 

10 le microprocesseur 3. A cet effet, un code d'authentification de message (MAC) peut etre 
associe au programme telecharg6 pour permettre de verifier non seulement son integrite, mais 
egaiement son origine. Le MAC peut etre produit en utiiisant un mecanisme de cryptograph ie 
sym&rique (DES en mode chains CBC). La verification de I'origine et de I'integrite peut aussi 
etre realisee k I'aide d'un mecanisme de cryptographie asymetrique : un condense du logiciel 

15 tetecharge est signe par I'emetteur k I'aide de sa cle privSe ; le microprocesseur securise 3 
verifie ensuite la signature k I'aide de la cle publique de I'emetteur. 

II est k noter que dans ce dernier exemple, la cle publique par principe ne necessite 
pas de rester confidentielle. Cependant la s^curite apportee par le microprocesseur assure 
I'integrite du logiciel, empechant un fraudeur de modifier le logiciel pour supprimer la 

20 verification de signature ou simplement de substituer k la cle publique initialement prevue 
une c!6 publique pour laquelle il connaitrait la cle privee associee. 

Si d'apres le test 39, il s'av£re que les donnees revues sont correctes, un drapeau 
indiquant que le programme duplication re^u est vaiide est elabore k l'etape 40. Dans le 
cas contraire, le programme de teiechargement revient k l'etape 32 de depart. 

25 Ce processus de chargement du logiciel duplication, done du logiciel filtre, dans la 

memoire reprogrammable securis£e (3d, 30a, 130a suivant le mode de realisation), 
comporte des mecanismes permettant de confirmer I'origine et I'integrite des donnees revues 
de I'emetteur du logiciel. Ceci permet d'interdire le teiechargement par un fraudeur d'un 
logiciel filtre qui serait susceptible de mettre en ceuvre des transactions dans le module 

30 terminal 1, 101 k I'insu de l'utilisateur. 

B) Authentification du module logiciel interpreter I, 20, 71 par le logiciel filtre F, 62 
ou, ce qui est equivalent dans le mode d'execution correspondant, authentification du 
microcontrdleur standard 2 par le microprocesseur securis£, et/ou etablissement d'un 
canal de communication s£curise entre ces deux logiciels ou ces deux microprocesseurs. 
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Pour qu'un utilisateur puisse avoir une totale confiance dans le module terminal au 
moyen duquel il effectue des transactions, il est necessaire : 

- d'authentifier les donnees transmises du logiciel interpreter 20, 71 au 
microprocesseur securis^ 3, 30 ou 130 executant le logiciel filtre ; 
5 - d'assurer que les donnees transmises par le logiciel filtre pour etre affichees par 

Tintermediaire du logiciel interpreter du module terminal 1, 101 possede par I'utilisateur ne 
peuvent I'Gtre que par celui-ci. 

Lorsque les moyens de pilotage des ^changes de donnees avec I'utilisateur, c'est k dire 
le logiciel interpreter 20, 71, sont implants de maniere fixe et non modifiable dans le 
10 module terminal 1, 101, comme par exemple dans la memoire ROM 2c du microcontroleur 
standard 2, I 'authentication du module logiciel est equivalente a ('authentication du 
microcontrdleur. 

De mSme, lorsque le logiciel filtre est implants de manidre k ne pas pouvoir etre 
modifie par une personne non autorisee, dans des moyens de traitement securis^s tels que le 
15 microprocesseur securise 3, la carte k circuit integre ou bien le serveur securise Ssec, une 
authentification effectuee par ces moyens securises est equivalente k une authentification 
effectue par le logiciel filtre lui-meme. 

Dans la description qui suit, nous d&rrirons les mecanismes d'authentification des 
moyens logiciels de pilotage des interfaces ou logiciel interpreter 20, 71 par le logiciel filtre. 
20 Differentes solutions permettent de remplir ces conditions. 

Une premiere solution consiste k chiffrer toutes les donnees £changees entre le le 
logiciel interpreter 20, 71 et le logiciel filtre. 

Une deuxteme solution consiste k faire proceder k Pauthentification du logiciel 
interpreter 20, 71 par le le logiciel filtre et/ou k etablir un canal de communication securise 
25 entre ces deux logiciels. 

Ces deux solutions impliquent necessairement qu'au moins un parametre secret connu 
du logiciel filtre F, 62, soit stocke dans le logiciel interpreter 20/71 . 

Selon la deuxteme solution, le logiciel filtre F, 62 authentifie le logiciel interpreter 20, 
71, selon un processus conventionnel d'authentification, sur la base d'une information 
30 transmise par le logiciel interpreter 20, 71, et combinee avec le parametre secret. Au 
niveau du logiciel interpreter 20, 71, cette procedure d'authentification est mise en oeuvre 
par le logiciel 72 (figure 8A) ou le logiciel 76 (figure 8B), suivant la forme de realisation du 
module terminal. 
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Ce mecanisme d'authentification peut egalement s'appliquer aux messages echanges 
entre les deux iogiciels pour construire des codes d'authentification des messages permettant 
de garantir Torigine et I'int6grit6 de chaque message transmis. 

Dans le cas du mode d'ex&rution decrit &-la Figure 4A, cette solution requiert 
5 cependant que, de preference, une protection physique de la liaison entre les deux 
microprocesseurs soit assume pour interdire k un fraudeur de lire les donnees 6chang(§es, et 
en particulier le code d* identification personnel (PIN) de la carte que I'utilisateur peut &re 
amene A introduire via le clavier 5 pour la mise en oeuvre des transactions. 

C) Protection d'un parametre secret par le microcontrdleur standard 2 

10 La description precedente montre la necessity de stocker au moins un parametre secret 

dans le logiciel interpr&eur. Le mode d'ex&rution du terminal k partir d'un PC, dans lequel 
le logiciel interpr&eur est execute sur le PC lui-mSme, offre done de par la s6curit£ limine 
du PC un degre de s^curite limite bien que suffisant pour emp&rher un virus de se substituer 
au logiciel interpr&eur. Un degn* de s6curite supSrieur est obtenu en implantant le logiciel 

15 interpr&eur dans la ROM 2c du microcontrdleur standard 2. Pour am£liorer la security le 
parametre secret du microcontrdleur 2 pourra Stre stocks dans la memoire temporaire, et 
cela k la fabrication du produit ou, eventuellement, lors de ('insertion du microprocesseur 
s6curis£ 3 s'il est amovible, ou d'une carte k circuit intSgre. Cette operation a pour but 
d'&ablir une confiance entre les deux microprocesseurs. Toute precaution utile doit Stre 

20 prise lors de cette operation pour s'assurer de ('authenticity du microcontrdleur 2 (operation 
effectu^e en usine, operation protegee par des cl£s dites de transport elles-mSmes stockees 
dans la memoire temporaire du microcontrdleur 2 en usine, et dont la connaissance 
conditionne ('operation d'initialisation dudit param&re secret). En outre des mecanismes 
conventionnels de d&ection d'intrusipn (contacts...) seront mis en place, pour provoquer 

25 Teffacement de la memoire temporaire en cas d'intrusion (coupure alimentation...), 

D) Authentification mutuelle et etablissement d'un canal de communication s^curise 
entre le microprocesseur de la carte k circuit integr£ et le microprocesseur securis£ du 
module terminal 

Cette authentification mutuelle et I'&ablissement du canal de communication 
30 s§curis6e sont realises par la mise en ceuvre de mecanismes identiques k ceux utilises entre 
le microcontrdleur standard 2 et le microprocesseur s6curise executant le logiciel filtre 
comme decrit au point B) ci-dessus. 

E) Authentification du module terminal 

II est important de se pr6munir vis-^-vis de toute attaque contre I'ensemble clavier 5, 
35 afficheur 4, microprocesseur securis6 3, visant par exemple k effectuer des contrefa^ons de 
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module terminal , k substituer un module terminal par un module terminal contrefait dans le 
but de recup£rer des informations saisies par I'utilisateur (espionnage clavier), d'acceder aux 
secrets d'une carte k circuit integr<§, d'effectuer des fausses signatures. 

Pour cela, il pourra etre ajoute un mecanisme permettant & Putilisateur d'authentifier 
5 son terminal. 

Cet objectif est atteint grace k un processus de personnalisation automatique. 
Authentication du module terminal seul 

La personnalisation peut consister en le calcul d'un mot de passe facile k se rappeler 
g6n£re et affiche par le terminal en fonction des param&res secrets contenus par le ou les 

10 microprocesseurs du terminal, lorsque I'utilisateur introduit un PIN. Si le terminal comporte 
par exemple deux microprocesseurs, le mot de passe est stocke dans le microprocesseur 
securise, chiffre par le PIN et une cle secrete X, puis transmis au microcontroleur 2 pour 
dechiffrement avec la de X stockee egalement dans le microcontraleur 2 et le PIN introduit 
par I'utilisateur. Ce mecanisme vise a se premunir contre la substitution de Tun des deux 

15 microprocesseurs. 

Le m§me principe peut Stre appliques un couple carte/terminal k chaque fois qu'une 
carte k micro-circuit est utilisee avec le module terminal. La personnalisation peut consister 
par exemple en le calcul, au moyen du logiciel de traduction, d'un mot de passe base sur 
une information secrete contenue dans le microprocesseur securise de la carte et d'une ou 

20 plusieurs informations secretes contenues dans module terminal. Le m6me principe que 
celui decrit ci-dessus peut etre utilise pour calculer le mot de passe. Ce mot de passe, g£nere 
lors de la premiere utilisation du module terminal en conjonction avec la carte et connu de 
I'utilisateur, est affiche sur Tecran 4 lors des utilisations subsequentes du module terminal 
avec la carte. L'utilisateur peut ainsi le verifier et avoir ainsi I'assurance que le terminal en sa 

25 possession, constitue du module terminal couple £ la carte, est bien authentique. 
F) Authentificatioh de la carte k micro-circuit par le module terminal 
Pour accroitre encore la securite du systeme de transaction suivant Invention, un 
processus conventionnel d'authentification peut Stre mis en oeuvre afin d'assurer 
Tauthentification par le module terminal 1, 101 de la carte k micro-circuit utilisee. Un tel 

30 processus d'authentification permet notamment d'eviter que le numero d'identification 
personnel (PIN) de I'utilisateur, que celui-ci introduit dans le module 1, 101 par le clavier 5 
pour executer une transaction securisee, soit capture par une carte falsifiee qui aurait ete 
substituee par un fraudeur h la carte authentique de I'utilisateur puis que ce fraudeur 
recupererait pour lire le PIN sur la carte falsifiee. L'authentification peut, par exemple, Stre 

35 effectuee par un mecanisme classique de type defi / reponse au moyen d'un secret partage 
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entre la carte et le module terminal en utilisant une cryptographie sym&rique ou bien, 
comme cela a dejk &6 decrit prec6demment, au moyen d'une cle privee stockee par la carte 
permettant le chiffrement du deft ou challenge k I'aide d'un algorithme asymetrique, le 
module terminal v£rifiant la reponse k I'aide de sa ci£ publique. 
5 L'architecture du systeme de transaction ainsi que les mecanismes de securisation 

dScrits ci-dessus conferent une tr£s grande securite aux transactions effectu£es au moyen du 
module terminal 1, 101. 

Ce module terminal permet : 

- grace au clavier 5, k l^cran 4 et k la protection des donnees £chang£es avec 
10 I'utilisateur, d'etendre la nature des services teellement securis£s que peut foumir une carte k 

micro-circuit ; 

- d'utiliser la carte dans le contexte d'un environnement non sgcurisg (ordinateur 
personnel PC susceptible d'&tre affecte par des virus ou programmes pirates), en Pisolant 
hermetiquement de cet environnement grace k une architecture logicielle et/ou materielle 

15 qui contrdle strictement l'acc£s k la carte, c'est k dire qui contrOle les commandes envoyees 
aux fonctions cryptographiques contenues dans la carte. 

Le module terminal peut revStir differentes formes telles que : 

• un lecteur de carte k circuit integte, connectable k un ordinateur via differentes 
interfaces (PCMCIA...) ou non (connexion k un serveur via modem uniquement) ; 

20 • un ordinateur (PC) dont les interfaces utilisateur sont constitutes par l'6cran et le 

clavier du PC, et qui comporte un lecteur de carte k circuit integte. Ce PC inclura des 
moyens logiciels et / ou materiels (tels qu'un second microprocesseur s&rurise, le 
rnierocontrdleur standard 6tant constitue par le PC) pour assurer I'integrite et la 
confidentiality du logiciel filtre. Par ordinateur on entend un ordinateur de type PC, mais 

25 6galement un PDA (* Personal Digital Assistant * ou Assistant Nunrterique Personnel) ; 

• un clavier, 6ventuellement muni d'un 6cran d'affichage LCD, dans lequel est 
integte un microprocesseur s6curis6 et une interface carte k circuit integte ; 

• un telephone muni 6ventuellement d'un afficheur, dans lequel est integte un 
microprocesseur s6curis6 et une interface carte k circuit integte ; 

30 • un d£codeur (set-top box) de teseau cable de TV integrant un lecteur ce carte k 

circuit integte connects a un poste de television, le poste de television, un clavier ou 
eventuellement la tel£commande associt au decodeur ou k la television servant de 
moyens d'interface avec I'utilisateur ; 

• plus g£n£ralement tout tquipement stcurisable par ['integration d'un 
35 microprocesseur stcurise dans lequel pourra £tre installee une application dite sensible, 
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ou par ('integration d'une interface carte k circuit integrS permettant le pilotage dudit 
£quipement par une application deportee dans une carte h circuit int<§gn§. 

L'ensemble de la description pn§c6dente decrit un terminal destine a gtre utilise 
avec une carte £ circuit int<§gr<§ ou "smart card". La carte k laquelle il est fait reference est 
5 en fait un outil permettant la mise en oeuvre de fonctions cryptographiques et 
personnalise par rapport k un utilisateur au moyen d'au moins un secret. II est evident 
que I'objet de ('invention ne se limite pas & un outil de forme donnee tel que celui de la 
carte k circuit integrS. L'invention couvre aussi la mise en oeuvre de dispositifs personnels 
de s6curite pouvant offrir des fonctions 6quivalentes k celle d'une carte k circuit integr£, 
10 mais pr6sent6s sous une forme differente, tels que les produits * iButton " Java Ring * 
ou jeton (* token *). 
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REVINDICATIONS 

1. Terminal pour la mise en ceuvre, par un utilisateur, de transactions Slectroniques 
s6curis6es en liaison avec au moins une application implantge sur une unite 6lectronique, 
ledit terminal comprenant : 

- un module terminal comportantau moins : 

5 * des premiers moyens d'interface avec ladite application pour en recevoir des 

requites relatives auxdites transactions, 

* des deuxtemes moyens d'interface avec ledit utilisateur, 

* des troistemes moyens d'interface avec un dispositif personnel de sScurite, 

* des premiers moyens de traitement de donnees comprenant au moins des premiers 
1 0 moyens logiciels de pilotage desdits moyens d'interface, et 

- un dispositif personnel de securite comportant au moins des deuxtemes moyens de 
traitement de donnees securis£s comprenant au moins des deuxiemes moyens logiciels 
d'ex^cution de commandes 6l6mentaires et des moyens d'execution de calculs cryptographiques, 

caracterise en ce que : 

15 - ledit terminal (1, 31 ; 101, 131) est adapte pour recevoir lesdites requ&es de ladite 

application (Fap) implantee sur la dite unite electronique (Sap ; PC) sous la forme de requfites 
de haut niveau independantes dudit dispositif personnel de s^curite, 

- Pun au moins dudit module terminal (1; 101) et dudit dispositif personnel de securite 
compnend : 

20 * au moins une m<§moire reprogrammable (3d ; 30a ; 102b ; 130a ; Ssec) de 

stockage d'au moins un logiciel filtre (F, 62), traduisant lesdites requ&es de haut niveau en au 
moins I'une de : 

(i) au moins une commande elemental re ou une sequence de commandes 
<*l6mentaires ex£cutables par lesdits deuxiemes moyens logiciels (80-84) desdits deuxiemes 

25 moyens de traitement de donnees (30 ; 1 30), ou 

(ii) au moins une sequence d'gchange de donnees entre ledit module terminal (1 ; 101) 
et ledit utilisateur via lesdits seconds moyens d'interface (4, 5), ex£cutables par lesdits premiers 
moyens logiciels (I, 20, 71 ) desdits premiers moyens de traitement de donnees (2 ; 29 ; 1 02), 

* des moyens de protection dudit logiciel filtre (F, 62), pour empScher toute 
30 lecture et/ou modification dudit logiciel filtre par une entity non autorisee, et 

- I'un au moins desdits premiers et deuxtemes moyens de traitement de donnees (3 ; 29 
, 30 ; 102 ; 130 ; Ssec) comprend un dispositif de traitement de donnees pour Pex6cution 
dudit logiciel filtre (F, 62). 
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2. Terminal selon la revendication 1, caracteris£ en ce que ledit dispositif d'execution 
du logiciel filtre comprend des premiers moyens d'identification et /ou d'authentification de 
ladite application (Fap) implantee dans ladite unite 6lectronique (Sap; PC) ou de I'origine 
desdites requites £mises par ladite application. 
5 3. Terminal selon la revendications 2, caracterise en. ce que ledit dispositif de 

traitement de donnees pour PexScution dudit logiciel filtre (F, 62) comprend des moyens de 
verification de Pintegrite des donn£es regues de ladite application (Fap). 

4. Terminal selon I'une quelconque des revendications 1 k 3, caracteris6 en ce que ledit 
dispositif de traitement de donnees pour ['execution dudit logiciel filtre (F, 62) comprend des 

10 moyens centralises (Ssec) de contrdie des conditions d'utilisation des sen/ices du dispositif 
personnel de security (31) en fonction de ladite application (Fap) et/ou de I'utilisateur. 

5. Terminal selon Tune quelconque des revendications 1 k 4, caracterisS en ce que ledit 
dispositif de traitement de donnees pour ('execution dudit logiciel filtre (F, 62) comprend : 

- des moyens pour commander le chargement securise dudit logiciel filtre dans ladite 
15 m6moire programmable, via I'un desdits premiers ou troistemes moyens d'interface, k partir 

d'une entity exterieure audit module, et 

- des premiers moyens de contrdie d'accfcs pour n'autoriser ledit chargement dudit 
logiciel filtre qu'en reponse k au moins une condition pr&tefinie. 

6. Terminal selon I'une quelconque des revendications 1 k 5, caract<§ris§ en ce qu'il 
20 . comprend des deuxidmes moyens d'authentification desdits premiers moyens de traitement de 

donnees (2 ; 3 ; 29 ; Ssec) par lesdits deuxtemes moyens de traitement de donnees (30 ; 130). 

7. Terminal selon I'une quelconque des revendications 1 ci 6, caract§ris6 en ce qu'il 
comprend des troistemes moyens d'authentification desdits deuxtemes moyens de traitement 
de donnees (30 ; 1 30) par lesdits premiers moyens de traitement de donnees (3 ; 29). 

25 8. Terminal selon I'une quelconque des revendications 6 et 7, caractgrise en ce qu'il 

comprend un premier canal de communication (6) entre lesdits premiers (2 ; 3 ; 29) et 
deuxtemes (30 ; 130) moyens de traitement de donnees et des premiers moyens de 
s6curisation dudit premier canal de communication. 

9. Terminal selon I'une quelconque des revendications 1 k 8, caracterise en ce qu'il 
30 comprend des quatrtemes moyens d'authentification dudit module terminal (1 101) par 

ledit utilisateur, independamment dudit dispositif personnel de sScurite (31 ; 131). 

10. Terminal selon la revendication 9, caract6ris6 en ce que lesdits quatri£mes moyens 
d'authentification comprennent des moyens de calcul, par lesdits premiers moyens de 
traitement de donnees (2 ; 3 ; 29), et de presentation audit utilisateur, via lesdits deuxtemes 

35 moyens d'interface (4), d'un mot de passe connu dudit utilisateur et calculi sur la base d'au 
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moins un premier param&re secret stocks dans lesdits premiers moyens de traitement de 
donnees (2 ; 3 ; 29). 

1 1 . Terminal selon Tune quelconque des revendications 1^10, caracterise en ce qu'il 
comprend des cinqui£mes moyens d'authentification conjointe dudit module terminal (1 ; 

5 1 01 ) et dudit dispositif personnel de security (31 "; 131) par ledit utilisateur. 

12. Terminal selon la revendication 11, caract<§ris£ en ce que lesdits cinqutemes 
moyens d'authentification comprennent des moyens de calcul, par ledit dispositif 
d'exScution dudit logiciel filtre (3 ; 29 ; 31 ; 131), et de presentation audit utilisateur, via 
lesdits deuxiSmes moyens d'interface (4), d'un mot de passe connu dudit utilisateur et 

10 calculi sur la base d'au moins un deuxteme et un troisteme param&res secrets stockes en 
m^moire respectivement dans lesdits premiers (2 ; 3 ; 29) et deuxtemes (30 ; 1 30) moyens de 
traitement de donntes. 

13. Terminal selon I'une quelconque des revendications 1 £ 12, caracterise en ce que 
ledit module terminal (1) comporte ladite m<§moire programmable (3d) pour le chargement 

15 et le stockage dudit logiciel filtre (F,.62). 

14. Terminal selon la revendication 13, caract6ris6 en ce que ledit logiciel filtre (F, 62) 
g£n£re des premieres commandes pour la mise en oeuvre de ladite sequence d'6changes de 
donnees entre ledit module terminal (1) et ledit utilisateur, et en ce que lesdits premiers 
moyens de traitement de donn^es comprennent un premier microprocesseur (2 ; 102) de 

20 pilotage desdits moyens d'interface (4-9) programme grace auxdits premiers moyens logiciels 
(20, 71) de pilotage desdits moyens d'interface pour executer lesdites premieres commandes 
gen^rees par ledit logiciel filtre (F, 62), et un deuxteme microprocesseur securise (3) du type 
pour carte k circuit integrS dispose dans ledit module terminal et comportant ladite memoire 
programmable (3d), ledit second microprocesseur (3) executant ledit logiciel filtre (F, 62) 

25 pour le pilotage de ladite sequence d'echanges de donnees au moyen desdites premieres 
commandes transmises audit premier microprocesseur (2) et pour ^application de ladite 
commande 6l6mentaire ou sequence de commandes 6l6mentaires auxdits deuxtemes 
moyens de traitement de donnees. 

15. Terminal selon la revendication 14, caract6ris6 en ce que lesdits premiers moyens 
30 logiciels (20, 71) de pilotage des moyens d'interface comportent au moins un quatrteme 

param&re secret, ledit deuxteme microprocesseur (3) &ant commands par ledit logiciel filtre 
(F, 62) pour authentifier lesdits premiers moyens logiciels (20, 71) de pilotage des moyens 
d'interface sur la base d'une information transmise par ledit premier microprocesseur (2) et 
combin6e au moins avec ledit quatri&me param^tre secret. 
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1 6. Terminal selon la revendication 1 5, caracterise en ce qu'il comprend un deuxteme 
canal de communication (12) entre lesdits premiers moyens logiciels (20, 71) de pilotage des 
moyens d'interface et ledit deuxteme microprocesseur (3) et des deuxtemes moyens de 
securisation dudit deuxteme canal de communication. 
5 17. Terminal selon la revendication 16, caracterise en ce que lesdits deuxtemes 

moyens de securisation comprennent des moyens de chiffrement et dechiffrement, par 
lesdits premiers moyens logiciels (20, 71) et par ledit deuxteme microprocesseur (3), des 
donnees transmises .sur ledit deuxteme canal de communication (12), sur la base d'au moins 
un cinqui6me param6tre secret memorise dans lesdits premiers et deuxi£mes moyens de 
1 0 traitement de donnees. 

18. Terminal selon Tune quelconque des revendications 16 et 17, caracterise en ce 
que lesdits deuxtemes moyens de securisation comprennent des premiers moyens physiques 
de protection dudit deuxteme canal de communication (12) contre les intrusions. 

19. Terminal selon I'une quelconque des revendications 15 k 18, caracterise en ce 
15 que ledit premier microprocesseur (2) comporte une m£moire- temporaire (2b) pour le 

stockage dudit param£tre secret et des deuxi£mes moyens physiques de protection de ladite 
memoire ternporaire (2b) contre les intrusions. 

20. Terminal selon Tune quelconque des revendications 14 a 19, caracterise en ce 
que ledit deuxi£me microprocesseur (2) est un microcontr6leur. 

20 21 . Terminal selon la revendication 1 3, caracterise en ce que ledit logiciei filtre g£n£re 

des premieres commandes pour la mise en ceuyre de ladite sequence d'echanges de 
donnees entre ledit module terminal et ledit utilisateur et lesdits premiers moyens de 
traitement de donnees comprennent ledit dispositif d*ex£cution .du logiciei filtre et sont 
constitu£s par un microprocesseur s£curis6 (29) adapte pour : 
25 * ex£cuter ledit logiciei filtre (F, 62) de traduction et de conversion desdites 

requetes de haut niveau en au moins une sequence d'echanges de donnees entre le 
module terminal et I'utilisateur et/ou en au moins une commande 6l£mentaire ou une 
sequence de commandes eiementaires ex^cutables par lesdits deuxtemes moyens 
logiciels desdits deuxtemes moyens de traitement de donnees (31), 
30 * piloter lesdits moyens d' interface (4-9) gr^ce auxdites premieres commandes 

gener£es par ledit logiciei filtre, pour la mise en ceuvre de ladite sequence d'echanges 
entre ledit module terminal (1) et ledit utilisateur. 
22. Terminal selon la revendication 21, caracterise en ce que ledit microprocesseur 
(29) comporte ladite memoire programmable. 
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23. Terminal selon la revendication 21, caracterise en ce que ladite memoire 
programmable est externe audit microprocesseur (29). 

24. Terminal selon la revendication 23, caracteris^ en ce que ledit logiciel filtre (F, 62) 
est stocke sous forme chifftee dans ladite memoire programmable et en ce que ledit 

5 microprocesseur (29) comprend des moyens pour lire, d&rhiffrer et executer ledit logiciel filtre. 

25. Terminal selon I'une quelconque des revendications 14 k 24, caracterise en ce 
que lesdits deuxtemes moyens de traitement de donnees dudit dispositif personnel de 
securite (31) comprennent un deuxteme dispositif de traitement de donnees (30) pour 
('execution securisee d'un logiciel filtre et une memoire programmable (30a) pour le 

10 chargement et le stockage dudit logiciel filtre (62), lesdits premiers moyens logiciels desdits 
premiers moyens de traitement de donnees Stent adapts pour recevoir lesdites commandes 
pour la mise en oeuvre de ladite sequence d'gchange de donnees indifferemment de Pun ou 
I'autre desdits dispositifs (3 ; 29 ; 31) d'execution de logiciel filtre implantes dans ledit 
module et ledit dispositif personnel de security respectivement. 

1 5 26. Terminal selon I'une quelconque des revendications 1 3 k 25, caracterise en ce que : 

- ledit logiciel filtre (F, 62) comprend au moins un param&re secret, 

- lesdits deuxiSmes moyens de traitement (30) de donnees comprennent des seconds 
moyens de contrfile d'accSs conditionnels pour n'autoriser I'execution desdits calculs 
cryptograph iques, en reponse k des commandes elementaires generees par ledit logiciel filtre 

20 (F, 62), que si au moins une seconde condition pr£d£finie, fonction dudit param&re secret est 
remplie. 

27. Terminal selon Tune quelconque des revendications 14 12, caracterise en ce que 
ledit dispositif personnel de securite (131) comporte ladite memoire programmable (130a) 
pour le chargement et le stockage dudit logiciel filtre (F, 62). 

25 28. Terminal selon la revendication 27, caracterise en ce que ledit logiciel filtre (F, 62) 

gen£re des premieres commandes pour la mise en oeuvre de ladite sequence d'echanges de 
donnees entre ledit module terminal (1) et ledit utilisateur et ce que lesdits premiers moyens 
de traitement de donnees comprennent un premier microprocesseur (2 ; 102) de pilotage 
desdits moyens d'interface (4-9), programme grace auxdits premiers moyens logiciels (20, 

30 71), pour executer lesdites premieres commandes, g^rSes par ledit logiciel filtre (F,62), et 
lesdits deuxtemes moyens de traitement de donnees comprennent un deuxteme 
microprocesseur s^curise (130) du type pour carte k circuit integre dispose dans ledit 
dispositif personnel de securite (131) et comportant ladite memoire programmable (130a), 
ledit second microprocesseur (130) executant (i) ledit logiciel filtre (F, 62) pour le pilotage de 

35 ladite sequence dtechanges de donnees au moyen desdites premieres commandes 
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transmises audit premier microprocesseur (2 ; 102), ainsi que (ii) lesdites commandes 
Elemental res. 

29. Terminal selon les revendications 6 et 28, caracterise en ce que lesdits premiers 
moyens logiciels (20, 71) de pilotage desdits moyens d'interface comportent au moins un 

5 param£tre secret et ledit second microprocesseur (130) dudit dispositif personnel de securite 
(131) est commands par ledit logiciel filtre (62) pour authentifier ledit premier 
microprocesseur (2) sur la base d'une information transmise par ledit premier 
microprocesseur (2) et combinee au moins avec ledit paramfetre secret. 

30. Terminal selon Tune quelconque des revendications 28 et 29, caracterise en ce 
10 que ledit deuxieme microprocesseur (130) dudit dispositif personnel de securite (131) est 

adapts pour commander le chargement dudit logiciel filtre (F, 62) dans ladite memoire 
programmable (130a) via lesdits premiers moyens d'interface (7-9) et lesdits troistemes 
moyens (6) d'interface avec ledit dispositif personnel de securite (131). 

31. Terminal selon Tune quelconque des revendications 13 £ 30, caracterise en ce 
15 que ledit module terminal (1 ; 101) est constituS par un lecteur de carte £ circuit integre et 

ledit dispositif personnel de securite est une carte £ circuit integre (31 ; 131). 

32. Terminal selon la revendication 13, caracterise en ce que ledit module terminal (1) 
comprend un ordinateur personnel (102) et en ce que ladite rrtemoire reprogrammable est 
constitute par le disque dur (102b) dudit ordinateur. 

20 33. Terminal selon la revendication 32 et I'une quelconque des revendications 14 a 

17, caracterise en ce que ledit premier microprocesseur est constitue par le microprocesseur 
(102c) dudit ordinateur personnel (102), ledit ordinateur personnel (102) etant en outre 
interface audit microprocesseur s£curis6 (3). 

34. Terminal selon la revendication 32, caracterise en ce que ledit logiciel filtre (F) 
25 comprend un premier module de chargement/d^chiffrement (Fed) et un deuxieme module 

chiffte (Fchi) pour ladite traduction des requites de haut niveau, ledit premier module (Fed) 
commandant le chargement dudit deuxteme module (Fchi) en memoire RAM dudit ordinateur 
(1 02) et son dechiffrement pour ^execution dudit logiciel filtre par ledit ordinateur. 

35. Terminal selon la revendication 32, caracterise en ce que ledit logiciel filtre (F) 
30 comprend au moins un premier module (F-PQ implante sur ledit ordinateur personnel (1 02) et au 

moins un deuxteme module (F-SE) implante sur un serveur de securite (Ssec), ledit ordinateur 
personnel (102) et ledit serveur de securite (Ssec) etant connectes par un canal de communication 
s6curise (CS) permettant un ^change de donnees protege entre lesdits modules. 

36. Terminal selon Tune quelconque des revendications 32 £ 35, caracterise en ce 
35 que ledit dispositif personnel de securite (31) est une carte ^circuit integre. 
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37. Systeme pour la mise en oeuvre de transactions s£curis6e, caracterise en ce qu'il 
comprend au moins un terminal (1, 31 ; 101, 131) selon I'une quelconque des 
revendications 1 £ 36, et au moins une unite <§lectronique (Sap ; PC) comportant des moyens 
pour transmettre lesdites requfites de haut niveau audit terminal (1,31 ; 101, 131). 
5 38. Systeme selon la revendication 37, caracterise en ce qu'il comprend une plurality 

de terminaux (1, 31 ; 101, 131), au moins un serveur (S) constituant ladite unite 
3lectronique, etdes moyens (CR) de transmission de donn^es num§riques entre ledit serveur 
(S) et lesdits terminaux. 
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